【活用ガイド】

JVNDB-2016-007655

OpenSSL に複数の脆弱性

概要

OpenSSL には、複数の脆弱性が存在します。

OpenSSL は、次の複数の脆弱性を修正したアップデートをリリースしました。

  * ciphersuite ChaCha20/Poly1305 にヒープバッファオーバーフロー - CVE-2016-7054 (重要度:高)
  * 無効な CMS 構造の処理における NULL ポインタ参照の問題 - CVE-2016-7053 (重要度:中)
  * モンゴメリ乗算処理の誤り - CVE-2016-7055 (重要度:低)
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


OpenSSL Project
  • OpenSSL 1.1.0c より前のバージョン (CVE-2016-7053, CVE-2016-7054, CVE-2016-7055)
  • OpenSSL 1.0.2 (CVE-2016-7055)
日本電気
  • EnterpriseDirectoryServer 全バージョン
  • EnterpriseIdentityManager 2.0以降
  • ESMPRO/ServerAgent 4.4.22-1以降 (Linux版)
  • ESMPRO/ServerAgentService 全バージョン (Linux版)
  • SystemDirector Enterprise
  • WebOTX Application Server Enterprise
  • WebOTX Application Server Express
  • WebOTX Application Server Foundation
  • WebOTX Application Server Standard
  • WebOTX Enterprise Service Bus
  • WebOTX Portal
  • Express5800 /SG 全バージョン
日立
  • Cosminexus HTTP Server
  • uCosminexus Application Server
  • uCosminexus Application Server (64)
  • uCosminexus Application Server -R
  • uCosminexus Developer
  • uCosminexus Primary Server Base
  • uCosminexus Primary Server Base(64)
  • uCosminexus Service Architect
  • uCosminexus Service Platform
  • uCosminexus Service Platform (64)

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
想定される影響

想定される影響は各脆弱性により異なりますが、アプリケーションがクラッシュするサービス運用妨害 (DoS) 攻撃を受けるなどの可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートして下さい。
本脆弱性を修正した OpenSSL 1.1.0c がリリースされています。
なお、 CVE-2016-7055 は 重要度:低 のため、2016年11月11日現在、CVE-2016-7055 に対する OpenSSL 1.0.2 のアップデートはリリースされていません。
ベンダ情報

OpenSSL Project 日本電気
  • NEC製品セキュリティ情報 : NV17-009
  • NEC製品セキュリティ情報 : NV17-011
日立
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2016-7053
  2. CVE-2016-7054
  3. CVE-2016-7055
参考情報

  1. JVN : JVNVU#92930223
  2. JVN : JVNVU#92830136
  3. National Vulnerability Database (NVD) : CVE-2016-7053
  4. National Vulnerability Database (NVD) : CVE-2016-7054
  5. National Vulnerability Database (NVD) : CVE-2016-7055
更新履歴

  • [2017年03月09日]
      掲載
    [2017年06月29日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日立 (hitachi-sec-2017-115) を追加
    [2017年07月25日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日本電気 (NV17-011) を追加
      参考情報:JVN (JVNVU#92830136) を追加
    [2017年10月03日]
      影響を受けるシステム:ベンダ情報 (NV17-009) の更新に伴い内容を更新
      影響を受けるシステム:ベンダ情報 (NV17-011) の更新に伴い内容を更新
    [2018年01月24日]
      参考情報:National Vulnerability Database (NVD) (CVE-2016-7053) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2016-7054) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2016-7055) を追加
    [2018年02月07日]
      影響を受けるシステム:ベンダ情報 (NV17-009) の更新に伴い内容を更新
      影響を受けるシステム:ベンダ情報 (NV17-011) の更新に伴い内容を更新