製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenSSL におけるサイドチャネルに関する脆弱性

タイトル	OpenSSL におけるサイドチャネルに関する脆弱性
概要	OpenSSL には、サイドチャネルに関する脆弱性が存在します。
想定される影響	攻撃者により、非常に大きな数の試行メッセージを送信されることで、平文を回復される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2022年7月15日0:00
登録日	2023年3月7日14:15
最終更新日	2025年12月26日11:16

CVSS3.0 : 警告
スコア	5.9
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

影響を受けるシステム

OpenSSL Project

OpenSSL

日本電気

ActSecure ポータル

CONNEXIVE Application Platform V2.0

CONNEXIVE PF V7

ESMPRO/ServerAgent 4.4.22-1 以降

IoT 共通基盤

iStorage T280 Version 1.3.0.0-D00

iStorage T280 Version 1.5.0.0-A00

iStorage T280 Version 1.5.0.2-A00

iStorage V100

iStorage V10e

iStorage V300

IX ルータ Ver.10.2 以降

NEC AI Accelerator AI-BOX OS v2.1.10.0 およびそれ以前

NEC Enhanced Speech Analysis 1.4.0

NEC Multimedia OLAP for 映像分析サービス

NeoFace Monitor クラウド版 1.0.2

NeoFace Monitor クラウド版 1.1.1

SpoolServer/ReportFiling

vRAN

WebOTX Application Server Enterprise 8.2 から 9.6

WebOTX Application Server Express 8.2 から 11.1

WebOTX Application Server Standard 8.2 から 11.1

WebOTX Application Server Standard Extended Option 11.1

WebOTX SIP Application Server Standard Edition 8.13

得選街・GCB

養殖魚サイズ測定自動化サービス

日立

Cosminexus HTTP Server

Hitachi Compute Systems Manager

Hitachi Configuration Manager

Hitachi Device Manager

Hitachi Global Link Manager

Hitachi Replication Manager

Hitachi Tiered Storage Manager

Hitachi Tuning Manager

HRL3

HWMC

JP1/Automatic Job Management System 3 - Definitions Assistant

JP1/Automatic Job Management System 3 - Manager

JP1/Automatic Operation

JP1/Base

JP1/Data Highway - Server

JP1/Data Highway - Server Starter Edition

JP1/File Transmission Server/FTP

JP1/IT Desktop Management 2 - Manager

JP1/IT Desktop Management 2 - Operations Director

JP1/IT Desktop Management 2 - Smart Device Manager

JP1/Navigation Platform

JP1/Navigation Platform for Developers

JP1/Operations Analytics

JP1/Performance Management - Agent Option for Service Response

JP1/Performance Management - Manager

JP1/Service Support

JP1/Service Support Starter Edition

JP1/SNMP System Observer

uCosminexus Application Server

uCosminexus Application Server(64)

uCosminexus Application Server-R

uCosminexus Developer

uCosminexus Primary Server Base

uCosminexus Primary Server Base(64)

uCosminexus Service Architect

uCosminexus Service Platform

uCosminexus Service Platform(64)

プログラミング環境 for Java

日立アドバンストサーバ HA8000V シリーズ

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2022-4304	https://www.cve.org/CVERecord?id=CVE-2022-4304
National Vulnerability Database (NVD)
2	CVE-2022-4304	https://nvd.nist.gov/vuln/detail/CVE-2022-4304

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/scap/cwe.html

ベンダー情報

No	名前	URL
Hitachi Software Vulnerability Information
1	hitachi-sec-2023-119	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2023-119/index.html
2	hitachi-sec-2023-135	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2023-135/index.html
3	hitachi-sec-2024-111	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2024-111/index.html
NEC製品セキュリティ情報
4	NV23-004	https://jpn.nec.com/security-info/secinfo/nv23-004.html
OpenSSL Security Advisory
5	OpenSSL Security Advisory [7th February 2023]	https://www.openssl.org/news/secadv/20230207.txt
サーバ・クライアント製品セキュリティ情報
6	hitachi-sec-2023-214	https://www.hitachi.co.jp/products/it/server/security/info/vulnerable/hitachi_sec_2023_214.html
ソフトウェア製品セキュリティ情報
7	hitachi-sec-2023-119	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2023-119/index.html
8	hitachi-sec-2023-135	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2023-135/index.html
9	hitachi-sec-2024-111	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2024-111/index.html
10	hitachi_sec_2025_216	https://www.hitachi.co.jp/products/it/server/security/info/vulnerable/hitachi_sec_2025_216.html
三菱電機株式会社
11	脆弱性に関する情報	https://www.mitsubishielectric.co.jp/psirt/vulnerability/index.html

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-23-075-04	https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-04
2	ICSA-23-143-02	https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-02
3	ICSA-23-166-11	https://www.cisa.gov/news-events/ics-advisories/icsa-23-166-11
4	ICSA-23-194-04	https://www.cisa.gov/news-events/ics-advisories/icsa-23-194-04
5	ICSA-23-222-09	https://www.cisa.gov/news-events/ics-advisories/icsa-23-222-09
6	ICSA-23-255-01	https://www.cisa.gov/news-events/ics-advisories/icsa-23-255-01
7	ICSA-23-320-08	https://www.cisa.gov/news-events/ics-advisories/icsa-23-320-08
8	ICSA-24-046-15	https://www.cisa.gov/news-events/ics-advisories/icsa-24-046-15
9	ICSA-24-102-08	https://www.cisa.gov/news-events/ics-advisories/icsa-24-102-08
10	ICSA-24-165-06	https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-06
11	ICSA-24-165-10	https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-10
12	ICSA-24-165-11	https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-11
13	ICSA-24-205-02	https://www.cisa.gov/news-events/ics-advisories/icsa-24-205-02
14	ICSA-25-044-09	https://www.cisa.gov/news-events/ics-advisories/icsa-25-044-09
15	ICSA-25-065-01	https://www.cisa.gov/news-events/ics-advisories/icsa-25-065-01
16	ICSA-25-160-02	https://www.cisa.gov/news-events/ics-advisories/icsa-25-160-02
JVN
17	JVNVU#90056839	http://jvn.jp/vu/JVNVU90056839/index.html
18	JVNVU#91198149	https://jvn.jp/vu/JVNVU91198149/index.html
19	JVNVU#91213144	https://jvn.jp/vu/JVNVU91213144/
20	JVNVU#91482879	https://jvn.jp/vu/JVNVU91482879/index.html
21	JVNVU#91676340	https://jvn.jp/vu/JVNVU91676340/
22	JVNVU#92598492	https://jvn.jp/vu/JVNVU92598492/index.html
23	JVNVU#93250330	https://jvn.jp/vu/JVNVU93250330/index.html
24	JVNVU#95292697	http://jvn.jp/vu/JVNVU95292697/index.html
25	JVNVU#95962757	https://jvn.jp/vu/JVNVU95962757/
26	JVNVU#97200253	https://jvn.jp/vu/JVNVU97200253/index.html
27	JVNVU#98345649	https://jvn.jp/vu/JVNVU98345649/index.html
28	JVNVU#98954443	https://jvn.jp/vu/JVNVU98954443/index.html
29	JVNVU#99464755	https://jvn.jp/vu/JVNVU99464755/index.html
30	JVNVU#99752892	https://jvn.jp/vu/JVNVU99752892/
31	JVNVU#99836374	https://jvn.jp/vu/JVNVU99836374/index.html

変更履歴

No	変更内容	変更日
7	[2023年06月29日] 影響を受けるシステム：ベンダ情報 (NV23-004) の更新に伴い内容を更新	2023年6月29日10:36
8	[2023年07月18日] 参考情報：JVN (JVNVU#95292697) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-194-04) を追加	2023年7月19日15:25
9	[2023年08月15日] 参考情報：JVN (JVNVU#90056839) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-222-09) を追加	2023年8月15日14:01
10	[2023年08月18日] ベンダ情報：三菱電機株式会社 (脆弱性に関する情報) を追加	2023年8月18日14:56
11	[2023年09月05日] 影響を受けるシステム：ベンダ情報 (NV23-004) の更新に伴い内容を更新	2023年9月5日10:29
12	[2023年09月14日] 参考情報：JVN (JVNVU#97200253) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-255-01) を追加	2023年9月14日14:46
13	[2023年09月25日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2023-214) を追加	2023年9月25日14:25
14	[2023年09月27日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2023-135) を追加	2023年9月27日11:50
15	[2023年11月21日] 参考情報：JVN (JVNVU#92598492) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-320-08) を追加	2023年11月20日18:18
16	[2023年12月11日] 参考情報：JVN (JVNVU#98954443) を追加	2023年12月11日15:00
17	[2024年02月06日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2024-111) を追加	2024年2月6日13:57
18	[2024年02月20日] 参考情報：JVN (JVNVU#91198149) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-046-15) を追加	2024年2月20日17:46
19	[2024年03月14日] 影響を受けるシステム：ベンダ情報 (hitachi-sec-2024-111) の更新に伴い内容を更新	2024年3月14日11:47
20	[2024年04月15日] 参考情報：JVN (JVNVU#99836374) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-102-08) を追加	2024年4月15日13:49
21	[2024年06月17日] 参考情報：JVN (JVNVU#93250330) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-165-06) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-165-10) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-165-11) を追加	2024年6月17日12:11
22	[2024年07月25日] 参考情報：ICS-CERT ADVISORY (ICSA-24-205-02) を追加	2024年7月25日11:08
23	[2024年09月02日] 影響を受けるシステム：ベンダ情報 (NV23-004) の更新に伴い内容を更新	2024年9月2日15:38
24	[2024年11月14日] 影響を受けるシステム：ベンダ情報 (NV23-004) の更新に伴い内容を更新	2024年11月14日10:07
25	[2024年12月02日] 影響を受けるシステム：ベンダ情報 (NV23-004) の更新に伴い内容を更新	2024年12月2日12:21
26	[2025年02月17日] 参考情報：JVN (JVNVU#95962757) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-044-09) を追加	2025年2月17日15:17
6	[2022年06月16日] 参考情報：JVN (JVNVU#99464755) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-166-11) を追加	2023年6月16日16:58
5	[2023年05月25日] 参考情報：JVN (JVNVU#91676340) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-075-04) を追加	2023年5月25日16:11
4	[2023年05月23日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2023-119) を追加	2023年5月23日14:47
27	[2025年03月10日] 参考情報：JVN (JVNVU#91482879) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-065-01) を追加	2025年3月10日11:34
28	[2025年06月12日] 参考情報：JVN (JVNVU#98345649) を追加参考情報：ICS-CERT ADVISORY (ICSA-25-160-02) を追加	2025年6月12日11:38
29	[2025年09月22日] 影響を受けるシステム：ベンダ情報 (NV23-004) の更新に伴い内容を更新	2025年9月22日11:25
3	[2023年04月21日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日本電気 (NV23-004) を追加	2023年4月24日16:14
30	[2025年12月26日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi_sec_2025_216) を追加	2025年12月26日10:35
1	[2023年03月07日] 掲載	2023年3月7日13:59
2	[2023年03月22日] 参考情報：JVN (JVNVU#99752892) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-075-04) を追加	2023年3月22日15:54

NVD脆弱性情報

CVE-2022-4304

概要	A timing based side channel exists in the OpenSSL RSA Decryption implementation which could be sufficient to recover a plaintext across a network in a Bleichenbacher style attack. To achieve a successful decryption an attacker would have to be able to send a very large number of trial messages for decryption. The vulnerability affects all RSA padding modes: PKCS#1 v1.5, RSA-OEAP and RSASVE. For example, in a TLS connection, RSA is commonly used by a client to send an encrypted pre-master secret to the server. An attacker that had observed a genuine connection between a client and a server could use this flaw to send trial messages to the server and record the time taken to process them. After a sufficiently large number of messages the attacker could recover the pre-master secret used for the original connection and thus be able to decrypt the application data sent over that connection.
公表日	2023年2月9日5:15
登録日	2023年2月9日10:00
最終更新日	2024年11月21日16:34

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl::::::::	3.0.0			3.0.8
cpe:2.3:a:openssl:openssl::::::::	1.1.1			1.1.1t
cpe:2.3:a:openssl:openssl::::::::	1.0.2			1.0.2zg

構成2	以上	以下	より上	未満
cpe:2.3:a:stormshield:stormshield_network_security::::::::	4.4.0			4.6.3
cpe:2.3:a:stormshield:stormshield_network_security::::::::	4.0.0			4.3.16
cpe:2.3:a:stormshield:stormshield_network_security::::::::	3.8.0			3.11.22
cpe:2.3:a:stormshield:stormshield_network_security::::::::	2.8.0			3.7.34
cpe:2.3:a:stormshield:stormshield_network_security::::::::	2.7.0			2.7.11
cpe:2.3:a:stormshield:endpoint_security::::::::				7.2.40
cpe:2.3:a:stormshield:sslvpn::::::::				3.2.1

No	URL	タグ
1	https://security.gentoo.org/glsa/202402-08
2	https://security.gentoo.org/glsa/202402-08
3	https://www.openssl.org/news/secadv/20230207.txt	Vendor Advisory
4	https://www.openssl.org/news/secadv/20230207.txt	Vendor Advisory