-
2016.03.30 -
2020.12.24
2016 年 3 月に公開された OpenSSL に関する複数の脆弱性の影響について
| サポート情報番号 | 000229 |
| 対象バージョン | BOM 6.0 (全 SR), BOM 5.0 (全 SR), JD R13, JD R12 |
2016年3月2日に公開された、「OpenSSL の複数の脆弱性に関する注意喚起」について、弊社製品への影響の有無は以下の通りです。
| CVE番号 | 影響の有無 |
| Cross-protocol attack on TLS using SSLv2 (DROWN) (CVE-2016-0800) | なし※1 |
| Divide-and-conquer session key recovery in SSLv2 (CVE-2016-0703) | なし※1 |
| Bleichenbacher oracle in SSLv2 (CVE-2016-0704) | なし※1 |
| Double-free in DSA code (CVE-2016-0705) | なし |
| Memory leak in SRP database lookups (CVE-2016-0798) | なし |
| BN_hex2bn/BN_dec2bn NULL pointer deref/heap corruption (CVE-2016-0797) | なし |
| Fix memory issues in BIO_*printf functions (CVE-2016-0799) | なし |
| Side channel attack on modular exponentiation (CVE-2016-0702) | あり |
※1 BOM 5.0 および 6.0 において、過去に公開済みの技術情報「SSL 3.0 (CVE-2014-3566) の弊社開発製品への影響について」でご案内している公開済みの対応モジュールが適用されていない場合には影響があります。
影響のある脆弱性(CVE-2016-0702)が該当する弊社製品は以下の通りです。
| 製品名 | バージョン | 影響の有無 |
| BOM for Windows 基本パッケージ | 5.0 SRなし~SR4、6.0 SRなし~SR2 | あり |
| 監視オプション for Linux | 5.0 SR2~SR4 | なし |
| Linux オプション | 6.0 SRなし~SR2 | なし |
| 監視オプション for Oracle | 5.0 SRなし~SR4 | なし |
| Oracle オプション | 6.0 SRなし~SR2 | なし |
| 監視オプション for Citrix Presentation Server | 5.0 SRなし~SR4 | なし |
| Citrix XenApp オプション | 6.0 SRなし~SR2 | なし |
| 監視オプション for VMware | 5.0 SR4 | あり |
| VMware オプション | 6.0 SRなし~SR2 | あり |
| サーバー診断レポートオプション | 5.0 SR2~SR4 | なし |
| BOM Report オプション | 6.0 SRなし~SR2 | なし |
| Job Director | R12.10 R13 | なし |
[影響内容]
Intelプロセッサのキャッシュでバンク競合が発生し、これを介して情報が漏洩する可能性があります。
なお、OpenSSLの脆弱性につきましては今後新たな脆弱性が発見される可能性が考えられ、今回公開させていただいている影響がない製品をご利用のお客様につきましても予防保守の為、ダウンロードページより各種更新モジュールを適用していただきますようお願いいたします。
詳細につきましては、下記Webサイトをご参照ください。
Common Vulnerabilities and Exposures
Learn more at National Vulnerability Database (NVD)
