製品・ソフトウェアに関する情報
Vulnerability Search
OpenSSL におけるサイドチャネルに関する脆弱性
Title OpenSSL におけるサイドチャネルに関する脆弱性
Summary

OpenSSL には、サイドチャネルに関する脆弱性が存在します。

Possible impacts 攻撃者により、非常に大きな数の試行メッセージを送信されることで、平文を回復される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date July 15, 2022, midnight
Registration Date March 7, 2023, 2:15 p.m.
Last Update Dec. 26, 2025, 11:16 a.m.
CVSS3.0 : 警告
Score 5.9
Vector CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Affected System
OpenSSL Project
OpenSSL 
日本電気
ActSecure ポータル 
CONNEXIVE Application Platform V2.0
CONNEXIVE PF V7
ESMPRO/ServerAgent 4.4.22-1 以降
IoT 共通基盤 
iStorage T280 Version 1.3.0.0-D00
iStorage T280 Version 1.5.0.0-A00
iStorage T280 Version 1.5.0.2-A00
iStorage V100 
iStorage V10e 
iStorage V300 
IX ルータ Ver.10.2 以降
NEC AI Accelerator AI-BOX OS v2.1.10.0 およびそれ以前
NEC Enhanced Speech Analysis 1.4.0
NEC Multimedia OLAP for 映像分析サービス 
NeoFace Monitor クラウド版 1.0.2
NeoFace Monitor クラウド版 1.1.1
SpoolServer/ReportFiling 
vRAN 
WebOTX Application Server Enterprise 8.2 から 9.6
WebOTX Application Server Express 8.2 から 11.1
WebOTX Application Server Standard 8.2 から 11.1
WebOTX Application Server Standard Extended Option 11.1
WebOTX SIP Application Server Standard Edition 8.13
得選街・GCB 
養殖魚サイズ測定自動化サービス 
日立
Cosminexus HTTP Server 
Hitachi Compute Systems Manager 
Hitachi Configuration Manager 
Hitachi Device Manager 
Hitachi Global Link Manager 
Hitachi Replication Manager 
Hitachi Tiered Storage Manager 
Hitachi Tuning Manager 
HRL3 
HWMC 
JP1/Automatic Job Management System 3 - Definitions Assistant 
JP1/Automatic Job Management System 3 - Manager 
JP1/Automatic Operation 
JP1/Base 
JP1/Data Highway - Server 
JP1/Data Highway - Server Starter Edition 
JP1/File Transmission Server/FTP 
JP1/IT Desktop Management 2 - Manager 
JP1/IT Desktop Management 2 - Operations Director 
JP1/IT Desktop Management 2 - Smart Device Manager 
JP1/Navigation Platform 
JP1/Navigation Platform for Developers 
JP1/Operations Analytics 
JP1/Performance Management - Agent Option for Service Response
JP1/Performance Management - Manager
JP1/Service Support 
JP1/Service Support Starter Edition 
JP1/SNMP System Observer 
uCosminexus Application Server 
uCosminexus Application Server(64) 
uCosminexus Application Server-R 
uCosminexus Developer 
uCosminexus Primary Server Base 
uCosminexus Primary Server Base(64) 
uCosminexus Service Architect 
uCosminexus Service Platform 
uCosminexus Service Platform(64) 
プログラミング環境 for Java 
日立アドバンストサーバ HA8000V シリーズ 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
7 [2023年06月29日]
  影響を受けるシステム:ベンダ情報 (NV23-004) の更新に伴い内容を更新		 June 29, 2023, 10:36 a.m.
8 [2023年07月18日]
  参考情報:JVN (JVNVU#95292697) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-23-194-04) を追加		 July 19, 2023, 3:25 p.m.
9 [2023年08月15日]
  参考情報:JVN (JVNVU#90056839) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-23-222-09) を追加		 Aug. 15, 2023, 2:01 p.m.
10 [2023年08月18日]
  ベンダ情報:三菱電機株式会社 (脆弱性に関する情報) を追加		 Aug. 18, 2023, 2:56 p.m.
11 [2023年09月05日]
  影響を受けるシステム:ベンダ情報 (NV23-004) の更新に伴い内容を更新		 Sept. 5, 2023, 10:29 a.m.
12 [2023年09月14日]
  参考情報:JVN (JVNVU#97200253) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-23-255-01) を追加		 Sept. 14, 2023, 2:46 p.m.
13 [2023年09月25日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (hitachi-sec-2023-214) を追加 		 Sept. 25, 2023, 2:25 p.m.
14 [2023年09月27日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (hitachi-sec-2023-135) を追加		 Sept. 27, 2023, 11:50 a.m.
15 [2023年11月21日]
  参考情報:JVN (JVNVU#92598492) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-23-320-08) を追加		 Nov. 20, 2023, 6:18 p.m.
16 [2023年12月11日]
  参考情報:JVN (JVNVU#98954443) を追加		 Dec. 11, 2023, 3 p.m.
17 [2024年02月06日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (hitachi-sec-2024-111) を追加		 Feb. 6, 2024, 1:57 p.m.
18 [2024年02月20日]
  参考情報:JVN (JVNVU#91198149) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-24-046-15) を追加		 Feb. 20, 2024, 5:46 p.m.
19 [2024年03月14日]
  影響を受けるシステム:ベンダ情報 (hitachi-sec-2024-111) の更新に伴い内容を更新		 March 14, 2024, 11:47 a.m.
20 [2024年04月15日]
  参考情報:JVN (JVNVU#99836374) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-24-102-08) を追加
 April 15, 2024, 1:49 p.m.
21 [2024年06月17日]
  参考情報:JVN (JVNVU#93250330) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-24-165-06) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-24-165-10) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-24-165-11) を追加
 June 17, 2024, 12:11 p.m.
22 [2024年07月25日]
  参考情報:ICS-CERT ADVISORY (ICSA-24-205-02) を追加		 July 25, 2024, 11:08 a.m.
23 [2024年09月02日]
  影響を受けるシステム:ベンダ情報 (NV23-004) の更新に伴い内容を更新		 Sept. 2, 2024, 3:38 p.m.
24 [2024年11月14日]
  影響を受けるシステム:ベンダ情報 (NV23-004) の更新に伴い内容を更新		 Nov. 14, 2024, 10:07 a.m.
25 [2024年12月02日]
  影響を受けるシステム:ベンダ情報 (NV23-004) の更新に伴い内容を更新		 Dec. 2, 2024, 12:21 p.m.
26 [2025年02月17日]
  参考情報:JVN (JVNVU#95962757) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-25-044-09) を追加		 Feb. 17, 2025, 3:17 p.m.
6 [2022年06月16日]
  参考情報:JVN (JVNVU#99464755) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-23-166-11) を追加		 June 16, 2023, 4:58 p.m.
5 [2023年05月25日]
  参考情報:JVN (JVNVU#91676340) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-23-075-04) を追加		 May 25, 2023, 4:11 p.m.
4 [2023年05月23日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (hitachi-sec-2023-119) を追加		 May 23, 2023, 2:47 p.m.
27 [2025年03月10日]
  参考情報:JVN (JVNVU#91482879) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-25-065-01) を追加		 March 10, 2025, 11:34 a.m.
28 [2025年06月12日]
  参考情報:JVN (JVNVU#98345649) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-25-160-02) を追加
 June 12, 2025, 11:38 a.m.
29 [2025年09月22日]
  影響を受けるシステム:ベンダ情報 (NV23-004) の更新に伴い内容を更新		 Sept. 22, 2025, 11:25 a.m.
3 [2023年04月21日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日本電気 (NV23-004) を追加		 April 24, 2023, 4:14 p.m.
30 [2025年12月26日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (hitachi_sec_2025_216) を追加		 Dec. 26, 2025, 10:35 a.m.
1 [2023年03月07日]   掲載 March 7, 2023, 1:59 p.m.
2 [2023年03月22日]
  参考情報:JVN (JVNVU#99752892) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-23-075-04) を追加		 March 22, 2023, 3:54 p.m.
NVD Vulnerability Information
CVE-2022-4304
Summary

A timing based side channel exists in the OpenSSL RSA Decryption implementation
which could be sufficient to recover a plaintext across a network in a
Bleichenbacher style attack. To achieve a successful decryption an attacker
would have to be able to send a very large number of trial messages for
decryption. The vulnerability affects all RSA padding modes: PKCS#1 v1.5,
RSA-OEAP and RSASVE.

For example, in a TLS connection, RSA is commonly used by a client to send an
encrypted pre-master secret to the server. An attacker that had observed a
genuine connection between a client and a server could use this flaw to send
trial messages to the server and record the time taken to process them. After a
sufficiently large number of messages the attacker could recover the pre-master
secret used for the original connection and thus be able to decrypt the
application data sent over that connection.

Publication Date Feb. 9, 2023, 5:15 a.m.
Registration Date Feb. 9, 2023, 10 a.m.
Last Update Nov. 21, 2024, 4:34 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 3.0.0 3.0.8
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 1.1.1 1.1.1t
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 1.0.2 1.0.2zg
Configuration2 or higher or less more than less than
cpe:2.3:a:stormshield:stormshield_network_security:*:*:*:*:*:*:*:* 4.4.0 4.6.3
cpe:2.3:a:stormshield:stormshield_network_security:*:*:*:*:*:*:*:* 4.0.0 4.3.16
cpe:2.3:a:stormshield:stormshield_network_security:*:*:*:*:*:*:*:* 3.8.0 3.11.22
cpe:2.3:a:stormshield:stormshield_network_security:*:*:*:*:*:*:*:* 2.8.0 3.7.34
cpe:2.3:a:stormshield:stormshield_network_security:*:*:*:*:*:*:*:* 2.7.0 2.7.11
cpe:2.3:a:stormshield:endpoint_security:*:*:*:*:*:*:*:* 7.2.40
cpe:2.3:a:stormshield:sslvpn:*:*:*:*:*:*:*:* 3.2.1
Related information, measures and tools
Common Vulnerabilities List