Japan
サイト内の現在位置を表示しています。
OpenSSLに中間者攻撃により暗号化データを解読される脆弱性
掲載番号:NV15-011
脆弱性情報識別番号:JVN#61247051、VU#978508
概要
本件は2014/06/06に公開した重要なお知らせ「弊社製品におけるOpenSSLのChange Cipher
Specメッセージ処理の脆弱性(CVE-2014-0224)への対応について」の追加情報です。
OpenSSLには、初期SSL/TLSハンドシェイクにおけるChange Cipher Specメッセージの処理に
脆弱性が存在します。
サーバとクライアント間のSSL/TLS通信が、中間者攻撃(man-in-the middle attack)によって
解読されたり、改ざんされたりする可能性があります。
対象製品
IX1000/IX2000/IX3000シリーズ
影響の有無
- ゼロコンフィグ機能(※)を使用している。
- ファームウェアアップデート機能でHTTPSを利用している。
- ダイナミックDNS機能でHTTPSを利用している。
- 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
- 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
- IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。
影響あり
以下2つの条件に合致する場合、この脆弱性問題の影響を受けます。
(1) 現在使用しているソフトウェアのバージョンが下記の「対象となる製品のバージョン」に該当。
(2) 以下のいずれかの機能を利用している。
(1) 現在使用しているソフトウェアのバージョンが下記の「対象となる製品のバージョン」に該当。
(2) 以下のいずれかの機能を利用している。
対象となる製品のバージョン
対象装置:
(ゼロコンフィグモデルを含む)
対象ソフトウェア:
対象となる各装置とソフトウェアの組み合わせは、以下URLの「製品カテゴリ」を参照ください。
- IX2005
- IX2010
- IX2015
- IX2025
- IX2105
- IX2215
- IX3010
- IX3110
対象ソフトウェア:
- ver.8.2.19からver.8.11.11Bまでの全バージョン
対象となる各装置とソフトウェアの組み合わせは、以下URLの「製品カテゴリ」を参照ください。
IX2000/IX3000シリーズ OpenSSL脆弱性問題(JVN#61247051)に関する御報告
https://jpn.nec.com/univerge/ix/Support/CERT/JVN61247051.html
https://jpn.nec.com/univerge/ix/Support/CERT/JVN61247051.html
対処方法
- ver.8.9.21以降
- ver.9.0.14以降
- ゼロコンフィグ機能
- ダイナミックDNS機能
- ファームウェアアップデート機能
- 装置起動時の自動ファームウェアアップデート機能
- 装置起動時の自動コンフィグダウンロード機能
- CA証明書のインポート機能
[対策]
[回避策]
(※1)
対策を行うことにより本脆弱性の影響を回避することが可能ですが、 本装置のみの
対策では脆弱性に対する完全な回避はできません。
(※2)
ダイナミックDNSサーバ接続にHTTPSを使用しないことにより本脆弱性の回避は可能
ですが、HTTPは通信が暗号化されないため、HTTPSのままでご利用いただく方が
データを解読されるリスクは低くなります。
修正ソフトウェアへのバージョンアップを実施してください。
修正ソフトウェアへのバージョンアップ手順につきましては、装置を購入した営業窓口まで
お問い合わせください。
IX2010, IX2015はリリース対象外です。
以下の回避策を実施してください。
IX2005
IX2105, IX2025, IX2215, IX3010, IX3110
IX2105, IX2025, IX2215, IX3010, IX3110
修正ソフトウェアへのバージョンアップ手順につきましては、装置を購入した営業窓口まで
お問い合わせください。
IX2010, IX2015はリリース対象外です。
以下の回避策を実施してください。
[回避策]
ARMSプロキシサーバに本脆弱性の対策を実施する(※1)。
接続先サーバに本脆弱性の対策を実施する(※1、※2)。
- 接続先サーバに本脆弱性の対策を実施する。
- 接続先サーバとの間をIPsecで暗号化する。
対策を行うことにより本脆弱性の影響を回避することが可能ですが、 本装置のみの
対策では脆弱性に対する完全な回避はできません。
(※2)
ダイナミックDNSサーバ接続にHTTPSを使用しないことにより本脆弱性の回避は可能
ですが、HTTPは通信が暗号化されないため、HTTPSのままでご利用いただく方が
データを解読されるリスクは低くなります。
WebSAM MCOperations
影響の有無
影響あり
対象となる製品のバージョン
WebSAM MCOperations Ver4.0以降でエージェントレス監視を使用した場合
WebSAM MCOperations Ver4.0.3以降でLDAP連携を使用した場合
WebSAM MCOperations Ver4.0.3以降でLDAP連携を使用した場合
対処方法
[対策]
Ver4.2.1以降にバージョンアップをお願いします。
バージョンアップにつきましては、保守契約を締結した後、バージョンアップ申請を行っていただく必要があります。
不明点は弊社営業までご相談ください。
また、バージョンアップ手順につきましては、製品付属のリリースメモをご参照ください。
バージョンアップにつきましては、保守契約を締結した後、バージョンアップ申請を行っていただく必要があります。
不明点は弊社営業までご相談ください。
また、バージョンアップ手順につきましては、製品付属のリリースメモをご参照ください。
WebSAM SystemManager
影響の有無
影響あり
対象となる製品のバージョン
Ver6.0 - Ver6.2.0
対処方法
[対策]
Ver6.2.1 で対応を完了しています。
バージョンアップにつきましては、保守契約を締結した後、バージョンアップ申請を行っていただく必要があります。
不明点は弊社営業までご相談ください。
また、バージョンアップ手順につきましては、製品付属のリリースメモをご参照ください。
バージョンアップにつきましては、保守契約を締結した後、バージョンアップ申請を行っていただく必要があります。
不明点は弊社営業までご相談ください。
また、バージョンアップ手順につきましては、製品付属のリリースメモをご参照ください。
上記以外の製品
上記以外の弊社製品につきましては次のURLの「製品対応状況」を参照ください。
https://jpn.nec.com/security-info/av14-002.html
参考情報
Japan Vulnerability Notes JVN#61247051:
OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
https://jvn.jp/jp/JVN61247051/
CERT/CC Vulnerability Note VU#978508:
OpenSSL is vulnerable to a man-in-the-middle attack
https://www.kb.cert.org/vuls/id/978508
CVE-2014-0224:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
更新履歴
- 2015/12/04
- 2015/10/21