Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

OpenSSLに中間者攻撃により暗号化データを解読される脆弱性

掲載番号:NV15-011
脆弱性情報識別番号:JVN#61247051、VU#978508

概要

本件は2014/06/06に公開した重要なお知らせ「弊社製品におけるOpenSSLのChange Cipher
Specメッセージ処理の脆弱性(CVE-2014-0224)への対応について
」の追加情報です。

OpenSSLには、初期SSL/TLSハンドシェイクにおけるChange Cipher Specメッセージの処理に
脆弱性が存在します。
サーバとクライアント間のSSL/TLS通信が、中間者攻撃(man-in-the middle attack)によって
解読されたり、改ざんされたりする可能性があります。

対象製品

IX1000/IX2000/IX3000シリーズ

影響の有無

    影響あり

    以下2つの条件に合致する場合、この脆弱性問題の影響を受けます。
    (1) 現在使用しているソフトウェアのバージョンが下記の「対象となる製品のバージョン」に該当。
    (2) 以下のいずれかの機能を利用している。
    • ゼロコンフィグ機能(※)を使用している。
            ※ゼロコンフィグモデルのみ対象となります。
    • ファームウェアアップデート機能でHTTPSを利用している。
    • ダイナミックDNS機能でHTTPSを利用している。
    • 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
    • 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
    • IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。

対象となる製品のバージョン

    対象装置:
    • IX2005
    • IX2010
    • IX2015
    • IX2025
    • IX2105
    • IX2215
    • IX3010
    • IX3110
    (ゼロコンフィグモデルを含む)

    対象ソフトウェア:
    • ver.8.2.19からver.8.11.11Bまでの全バージョン

    対象となる各装置とソフトウェアの組み合わせは、以下URLの「製品カテゴリ」を参照ください。

    IX2000/IX3000シリーズ OpenSSL脆弱性問題(JVN#61247051)に関する御報告
    http://jpn.nec.com/univerge/ix/Support/CERT/JVN61247051.html

対処方法

    [対策]
    修正ソフトウェアへのバージョンアップを実施してください。

    IX2005
    • ver.8.9.21以降

    IX2105, IX2025, IX2215, IX3010, IX3110
    • ver.9.0.14以降

    修正ソフトウェアへのバージョンアップ手順につきましては、装置を購入した営業窓口まで
    お問い合わせください。

    IX2010, IX2015はリリース対象外です。
    以下の回避策を実施してください。

    [回避策]
    • ゼロコンフィグ機能
    ARMSプロキシサーバに本脆弱性の対策を実施する(※1)。

    • ダイナミックDNS機能
    接続先サーバに本脆弱性の対策を実施する(※1、※2)。

    • ファームウェアアップデート機能
    • 装置起動時の自動ファームウェアアップデート機能
    • 装置起動時の自動コンフィグダウンロード機能
    • CA証明書のインポート機能
      接続先サーバに本脆弱性の対策を実施する。
      接続先サーバとの間をIPsecで暗号化する。

    (※1)
    対策を行うことにより本脆弱性の影響を回避することが可能ですが、 本装置のみの
    対策では脆弱性に対する完全な回避はできません。

    (※2)
    ダイナミックDNSサーバ接続にHTTPSを使用しないことにより本脆弱性の回避は可能
    ですが、HTTPは通信が暗号化されないため、HTTPSのままでご利用いただく方が
    データを解読されるリスクは低くなります。

WebSAM MCOperations

影響の有無

    影響あり

対象となる製品のバージョン

    WebSAM MCOperations Ver4.0以降でエージェントレス監視を使用した場合
    WebSAM MCOperations Ver4.0.3以降でLDAP連携を使用した場合

対処方法

    [対策]
    Ver4.2.1以降にバージョンアップをお願いします。
    バージョンアップにつきましては、保守契約を締結した後、バージョンアップ申請を行っていただく必要があります。
    不明点は弊社営業までご相談ください。

    また、バージョンアップ手順につきましては、製品付属のリリースメモをご参照ください。

WebSAM SystemManager

影響の有無

    影響あり

対象となる製品のバージョン

    Ver6.0 - Ver6.2.0

対処方法

    [対策]
    Ver6.2.1 で対応を完了しています。
    バージョンアップにつきましては、保守契約を締結した後、バージョンアップ申請を行っていただく必要があります。
    不明点は弊社営業までご相談ください。

    また、バージョンアップ手順につきましては、製品付属のリリースメモをご参照ください。

上記以外の製品

上記以外の弊社製品につきましては次のURLの「製品対応状況」を参照ください。
http://jpn.nec.com/security-info/av14-002.html

参考情報

Japan Vulnerability Notes JVN#61247051:
OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
https://jvn.jp/jp/JVN61247051/

CERT/CC Vulnerability Note VU#978508:
OpenSSL is vulnerable to a man-in-the-middle attack
http://www.kb.cert.org/vuls/id/978508

CVE-2014-0224:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

更新履歴

2015/12/04
WebSAM MCOperations、WebSAM SystemManagerを登録しました。
2015/10/21
IX1000/IX2000/IX3000シリーズを登録しました。