【活用ガイド】

JVNDB-2019-012631

OpenSSL における整数オーバーフローの脆弱性

概要

OpenSSL には、整数オーバーフローの脆弱性が存在します。

OpenSSL Project より、OpenSSL Security Advisory [6 December 2019] が公開されました。

深刻度 - 低 (Severity: Low)

512 ビット用モジュールのべき乗計算で使用される Montgomery squaring プロシージャにおけるオーバーフローの問題 - CVE-2019-1551
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


OpenSSL Project
  • OpenSSL 1.1.1
  • OpenSSL 1.0.2
日立
  • JP1/Automatic Job Management System 3 - Manager
  • JP1/Automatic Operation
  • JP1/Data Highway - Server
  • JP1/Data Highway - Server Starter Edition
  • JP1/Operations Analytics
  • JP1/Performance Management - Manager
  • JP1/SNMP System Observer
  • 日立アドバンストサーバ HA8000 シリーズ

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
想定される影響

秘密鍵の情報が窃取される可能性があります。
なお、開発者によると楕円曲線暗号アルゴリズムを用いる場合には本脆弱性の影響は受けないとのことです。
対策

[パッチを適用する]
開発者が提供する情報をもとに、パッチを適用してください。詳しくは、開発者が提供する情報を確認してください。

なお、開発者によると、OpenSSL 1.0.2 のサポートは 2019年12月31日で終了し、以降のサポートはプレミアムサポートを契約したユーザにのみ提供されるとのことです。
また OpenSSL 1.1.0 はサポート対象外のため、アップデートを受けることができず、本件への影響も不明とのことです。
そのため開発者は、OpenSSL 1.1.1 へのアップグレードを推奨しています。
ベンダ情報

OpenSSL Project 日本電気
  • NEC製品セキュリティ情報 : NV20-004
日立
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2019-1551
参考情報

  1. JVN : JVNVU#90419651
  2. National Vulnerability Database (NVD) : CVE-2019-1551
更新履歴

  • [2019年12月10日]
      掲載
  • [2019年12月20日]
      タイトル:内容を更新
      概要:内容を更新
  • [2019年12月24日]
      想定される影響:内容を更新
  • [2021年02月16日]
      影響を受けるシステム:内容を更新
      ベンダ情報:Hitachi Software Vulnerability Information (hitachi-sec-2021-106) を追加 
      ベンダ情報:ソフトウェア製品セキュリティ情報 (hitachi-sec-2021-106) を追加
  • [2022年01月27日]
      ベンダ情報:日本電気 (NV20-004) を追加

  • [2022年11月28日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日立 (hitachi-sec-2022-223) を追加
  • [2023年07月20日]
      ベンダ情報:日立 (hitachi-sec-2023-126) を追加