�y���p�K�C�h�z

JVNDB-2021-002326

OpenSSL �ɕ����̐Ǝ㐫

�T�v

OpenSSL Project ���AOpenSSL Security Advisory [24 August 2021] �����J����܂����B
OpenSSL �ɂ́A���̐Ǝ㐫�����݂��܂��B

�[���x - ���iSeverity: High�j
�@* SM2 �Í��f�[�^�̕��������ɂ�����o�b�t�@�I�[�o�[�t���[ �iCWE-120�j- CVE-2021-3711
�@�@* SM2 �Í��f�[�^�̕����������s���A�v���P�[�V�����́AEVP_PKEY_decrypt() �֐���ʏ� 2 ��Ăяo�����A1 ��ڂ̌Ăяo���Ōv�Z�����o�b�t�@�T�C�Y�� 2 ��ڂ̌Ăяo���ŕK�v�ȃT�C�Y��菬�����Ȃ�悤�� SM2 �f�[�^���A�v���P�[�V�����ɓn���ꂽ�ꍇ�A�o�b�t�@�I�[�o�[�t���[����������”\��������
�@�@
�[���x - ���iSeverity: Moderate�j
�@* ASN.1 �����񏈗��ɂ�����o�b�t�@�G���[ �iCWE-119�j- CVE-2021-3712
�@�@* OpenSSL �ɂ����āAASN.1 �`���̕������ ASN1_STRING �\���ŕ\����A���̍\���ł� NULL �I�[���K�{�Ƃ͂���Ă��Ȃ��B�������AOpenSSL ���ɂ� NULL �I�[��O��Ƃ��ď������s���֐����������݂��邽�߁A�A�v���P�[�V�������Œ��ڐ��������Ȃǂ��� NULL �I�[�������Ȃ� ASN1_STRING �\�������������������ꂽ�ꍇ�A�o�b�t�@�G���[����������”\��������
CVSS �ɂ��[���x (CVSS �Ƃ�?)

�e�����󂯂�V�X�e��


OpenSSL Project
  • OpenSSL 1.1.1k ����т���ȑO�̃o�[�W����
  • OpenSSL 3.0 alpha/beta �����[�X �i�����Ń����[�X���܂łɂ͏C���\��j
  • OpenSSL 1.0.2y ����т���ȑO�̃o�[�W����
���{�d�C
  • AddPoint 6.5
  • CONNEXIVE PF 7.0
  • Elastic Matcher 1.3 ����т���ȑO
  • EnterpriseDirectoryServer 8.5 ����т���ȑO
  • EnterpriseIdentityManager 8.5 ����т���ȑO
  • ESMPRO/ServerAgent
  • iSM�T�[�o 9.20.001 ���� 9.20.003
  • iStorageManager
  • iStorageManager Express Mx20�V���[�Y 1010 ���� 1237
  • Mission Critical Mail
  • NEC AI Accelerator
  • SystemDirector Enterprise for Java 5.1 ���� 7.2
  • WebOTX Application Server Express 8.2 ���� 10.4
  • WebOTX Application Server Standard 8.2 ���� 10.4
  • WebOTX Application Server Enterprise 8.2 ���� 9.6
  • WebOTX SIP Application Server Standard Edition 8.13
  • WitchyMail 1.0.2y ����т���ȑO�� 1.0.2x
  • WitchyMail 1.1.1k ����т���ȑO�� 1.1.1x
  • �H��t�����l���Ԍv���\�����[�V���� 1.0.1
  • ���I�X�EGCB
  • NEC Cyber Security Platform 2.1.0.0 ���� 3.0.0.1
  • NEC Cyber Security Platform 1.0 ���� 2.0.7.1
  • NEC �G�b�W�Q�[�g�E�F�C
  • UNIVERGE Integration Platform 1.1.1f
  • UNIVERGE Soft Client SP350 SP350 R6.19 �܂�
  • UNIVERGE WA�V���[�Y 8.5.4 ����т���ȑO
  • UNIVERGE IX�V���[�Y 10.5.13�ȑO
����
  • Hitachi Ops Center Viewpoint (�����̔��̂�)
  • �����A�h�o���X�g�T�[�o HA8000 �V���[�Y

�Ȃ��AOpenSSL 1.1.0 �̓T�|�[�g���I�����Ă��邽�߁A�{�Ǝ㐫�̕]�������{���Ă��Ȃ��Ƃ̂��Ƃł��B

�{�Ǝ㐫�̉e�����󂯂鐻�i�̏ڍׂɂ‚��ẮA�x���_��񂨂�юQ�l�������m�F���������B
�z�肳���e��

�z�肳���e���͊e�Ǝ㐫�ɂ��قȂ�܂����A���̂悤�ȉe�����󂯂�”\��������܂��B

�@* ���������N���� SM2 �f�[�^���A�v���P�[�V�����ɓn����邱�ƂŁA�A�v���P�[�V�����̓����ς���ꂽ��A�N���b�V��������ꂽ�肷�� - CVE-2021-3711

�@* �e�����󂯂�֐��� NULL �I�[�������Ȃ� ASN1_STRING �\���������������邱�Ƃɂ��A�A�v���P�[�V�������N���b�V��������ꂽ��A���������̃f�[�^���ǂݎ��ꂽ�肷�� - CVE-2021-3712
�΍�

[�A�b�v�f�[�g����]
�J���҂��񋟂���������ƂɁA�ŐV�łփA�b�v�f�[�g���Ă��������B
�J���҂́A�{�Ǝ㐫�ւ̑΍��łƂ��Ď��̃o�[�W�����������[�X���Ă��܂��B

�@* OpenSSL 1.1.1l

[�A�b�v�O���[�h����]
OpenSSL 1.1.0 ����� OpenSSL 1.0.2 �̓T�|�[�g���I�����Ă��邽�߁A�A�b�v�f�[�g�͔z�M����Ă��܂���B
���̂��߁A�J���҂� OpenSSL 1.0.2 �v���~�A���T�|�[�g�_�񃆁[�U�������AOpenSSL 1.1.1l �ւ̃A�b�v�O���[�h�𐄏����Ă��܂��B
�x���_���

OpenSSL Project �O�H�d�@ ���{�d�C ����
CWE�ɂ��Ǝ㐫�^�C�v�ꗗ  CWE�Ƃ�?

  1. �o�b�t�@�G���[(CWE-119) [���̑�]
  2. �ÓT�I�o�b�t�@�I�[�o�[�t���[(CWE-120) [���̑�]
���ʐƎ㐫���ʎq(CVE)  CVE�Ƃ�?

  1. CVE-2021-3711
  2. CVE-2021-3712
�Q�l���

  1. JVN : JVNVU#99612123
  2. JVN : JVNVU#98748974
  3. JVN : JVNVU#99843134
  4. JVN : JVNVU#91676340
  5. National Vulnerability Database (NVD) : CVE-2021-3711
  6. National Vulnerability Database (NVD) : CVE-2021-3712
  7. JPCERT ���ӊ��N : JPCERT-AT-2021-0036
  8. ICS-CERT ADVISORY : ICSA-22-342-02
  9. ICS-CERT ADVISORY : ICSA-23-143-02
�X�V����

  • [2021�N08��26��]
      �f��
  • [2021�N10��13��]
      �e�����󂯂�V�X�e���F�x���_���̒lj��ɔ������e���X�V
      �x���_���F���� (hitachi-sec-2021-134) ��lj�
      �Q�l���FNational Vulnerability Database (NVD) (CVE-2021-3711 ����� CVE-2021-3712) ��lj�
  • [2021�N11��29��]
      �x���_���F���� (hitachi-sec-2021-144) ��lj�
  • [2022�N01��27��]
      �x���_���F���{�d�C (NV21-020) ��lj�
  • [2022�N02��14��]
      �Q�l���FJVN (JVNVU#98748974) ��lj�
  • [2022�N03��09��]
      �x���_���F���� (hitachi-sec-2022-205) ��lj�
  • [2022�N04��19��]
      �x���_���F���{�d�C (���{�d�C������Ђ���̏��) ��lj�
  • [2022�N05��12��]
      �x���_���F�O�H�d�@ (�Ǝ㐫�Ɋւ�����) ��lj�
  • [2022�N08��09��]
      �e�����󂯂�V�X�e���F�x���_��� (NV21-020) �̍X�V�ɔ������e���X�V
  • [2022�N11��28��]
      �e�����󂯂�V�X�e���F�x���_���̒lj��ɔ������e���X�V
      �x���_���F���� (hitachi-sec-2022-223) ��lj�
  • [2022�N12��15��]
      �e�����󂯂�V�X�e���F�x���_��� (NV21-020) �̍X�V�ɔ������e���X�V
  • [2023�N03��22��]
      �Q�l���FJVN (JVNVU#99843134) ��lj�
      �Q�l���FICS-CERT ADVISORY (ICSA-22-342-02) ��lj�
  • [2023�N04��25��]
      �e�����󂯂�V�X�e���F�x���_��� (NV21-020) �̍X�V�ɔ������e���X�V
  • [2023�N05��25��]
      �Q�l���FJVN (JVNVU#91676340) ��lj�
      �Q�l���FICS-CERT ADVISOR (ICSA-23-143-02) ��lj�
  • [2023�N07��20��]
      �x���_���F���� (hitachi-sec-2023-126) ��lj�

���\��2021/08/25
�o�^��2021/08/26
�ŏI�X�V��2023/07/20
OSZAR »