Japan

サイト内の現在位置を表示しています。

SSLv3プロトコルに暗号化データを解読される脆弱性(POODLE攻撃)

掲載番号:NV15-005
脆弱性情報識別番号:JVNVU#98283300, VU#577193

概要

本件は2014/10/28に公開した重要なお知らせ「弊社製品におけるSSLv3プロトコルに暗号化データを解読される脆弱性(POODLE攻撃)への対応について」の追加情報です。

中間者攻撃により通信プロトコルのバージョンをSSLv3にダウングレードさせて通信内容を解読する攻撃手法が報告されています。
この攻撃手法は"POODLE" (Padding Oracle On Downgraded Legacy Encryption)と呼ばれています。
POODLE攻撃によって、第三者に暗号化された通信内容の一部を解読される可能性があります。

対象

Express5800シリーズ/iStorage NSシリーズ

影響の有無

影響あり

対象となる製品のバージョン

  • EXPRESSSCOPEエンジン
  • EXPRESSSCOPEエンジン2
  • EXPRESSSCOPEエンジンSP 2
  • EXPRESSSCOPEエンジン3
  • EXPRESSSCOPEエンジンSP 3
  • EXPRESSSCOPEエンジン3 ft
  • ESMPRO/ServerManager Ver.5/6 (※ SSL通信に設定変更した場合のみ)
  • エクスプレス通報サービス(HTTPS)
  • SIGMABLADE 8G FC スイッチ(N8406-040/042)
  • SIGMABLADE EMカード(N8405-019/019A/043)
  • LTO集合型((N8160-82/83/87/88/89/92)
  • ディスクアレイ装置(ST12300/ST12400)
  • Express5800/ECOCENTER サーバモジュール(BMC)
  • Express5800/E120a(BMC)
  • Express5800/E120b-M(BMC)
  • Express5800/HR120b-1(BMC)

対処方法

[回避策]
次の(1)、(2)いずれかを実施してください。
尚、ディスクアレイ装置(ST12300/ST12400)の管理用ソフトStorViewにつきましては、
(1)は実施できませんので(2)を実施してください。

(1) 管理ツールを動作させるクライアント側でSSL3.0を無効化する
      詳細は次のURLの【クライアント側でSSL3.0を無効化する方法】を参照ください。

      Express5800シリーズ/iStorage NSシリーズにおけるSSL 3.0の脆弱性
     (CVE-2014-3566)への対応について
      https://support.express.nec.co.jp/care/techinfo/security201411/index.html

(2) ファイアウォール等によるネットワーク側での対策

iStorage NVシリーズ

影響の有無

影響あり

対象となる製品のバージョン

x400/x500 (SC-LX6)

上記以前のバージョンにつきましては、既にサポートが停止しております。

対処方法

[対策]
以下のURLでパッチを公開しています。

 

https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104104

 

パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。

IX1000/IX2000/IX3000シリーズ

影響の有無

影響あり

次の機能でHTTPSを利用しており、暗号化された通信内容の一部を解読される可能性があります。
  • ファームウェアアップデート機能
  • ダイナミックDNS機能
  • 装置起動時の自動コンフィグダウンロード機能
  • 装置起動時の自動ファームウェアアップデート機能
  • 証明書のインポート機能

対象となる製品のバージョン

Version:8.2.19~9.0.14

対処方法

[対策]
次のバージョンで対応完了しています。
  • Version:9.0.14A
  • Version:8.9.21A

 

修正ソフトウェアへのバージョンアップ手順につきましては、

装置を購入した営業窓口までお問い合わせください。


PowerChute Business Edition

影響の有無

影響あり

対象となる製品のバージョン

PowerChute Business Edition 全バージョン

対処方法

[回避策]
(1) エージェント
本脆弱性の対策を実施したブラウザを使用するか、
ブラウザでのSSL3.0の使用を無効にしてください。
外部ネットワークに接続した環境では、ファイアウォールで
ポート2161をクローズしてください。

(2) サーバ、コンソール
外部ネットワークに接続した環境では、ポート2160、2161を
保護(クローズ)して下さい。

UNIVERGE IP8800シリーズ

影響の有無

影響あり

httpsを使用する機能での暗号化通信内容の漏えいとなります。
なお、対象機種の場合でも該当機能を未使用の場合は、影響はありません。

対象となる製品のバージョン

  • IP8800/S6700,S6600,S6300
  • IP8800/S4600,S3800,S3650,S3640,S3640 ER,S3630
  • IP8800/S2500,S2400,S2200,SS1200

 

以下の機能をお使いの場合に影響があります。

  • WEB認証
  • OAN

対処方法

[対策]
対策版ソフトウェアをリリース済みです。
以下のURLの「6.対象製品」を参照ください。

「SSL3.0の脆弱性(POODLE)」に関するご報告
https://jpn.nec.com/ip88n/technical_info/20141028.html

[回避策]
  • WEB認証
WEB認証を行うクライアント設定で、TLS1.0を有効(SSL2.0,SSL3.0を無効)とする
ことで回避可能です。

TLS1.0:有効 SSL2.0:無効
SSL3.0:無効

(例) Internet Explorerの場合
「ツール」⇒「インターネットオプション」⇒「詳細設定」

  • OAN
AX-ON-APIを利用するサーバ側Java実行環境でTLS1.0を有効(SSL2.0,SSL3.0を無効)
とすることで回避可能です。

TLS1.0:有効
SSL2.0:無効
SSL3.0:無効

Javaの設定方法
「コントロールパネル」⇒「JAVA」⇒「詳細」

WebSAM JobCenter

影響の有無

影響あり

対象となる製品のバージョン

WebSAM JobCenter R13.1以降
CL/Webが影響を受けます。

対処方法

[回避策]
ブラウザでのSSL3.0の使用を無効にしてください。
Internet Explorerの設定方法は次のURLの【Internet Explorer で SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする】を参照ください。
https://technet.microsoft.com/ja-jp/library/security/3009008.aspx

上記以外の製品

上記以外の弊社製品につきましては次のURLの「製品対応状況」を参照ください。
https://jpn.nec.com/security-info/av14-004.html

参考情報

Japan Vulnerability Notes JVNVU#98283300:
SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
https://jvn.jp/vu/JVNVU98283300/index.html

CERT/CC Vulnerability Note VU#577193:
POODLE vulnerability in SSL 3.0
https://www.kb.cert.org/vuls/id/577193

CVE-2014-3566:

更新情報

2015/11/20
iStorage NVシリーズを登録しました。NEW
2015/10/21
UNIVERGE IP8800シリーズ、WebSAM JobCenterを登録しました。NEW
2015/07/07
Express5800シリーズ/iStorage NSシリーズ、IX1000/IX2000/IX3000シリーズ、PowerChute Business Editionを登録しました。NEW