ページの先頭です。

サイト内の現在位置を表示しています。
ここから本文です。

「SSLv3 の脆弱性(POODLE 攻撃)」に関する通知

~技術情報~

第3版: 2015/07/07


平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。

UNIVERGE PFシリーズ製品におけるSSLv3 の脆弱性(Padding Oracle On Downgraded Legacy Encryption (通称POODLE) 攻撃)についてお知らせ致します。


1.概要

SSLv3プロトコルに暗号化データを解読される脆弱性(POODLE攻撃)が発見されました。

脆弱性の詳細につきましては、以下のサイトをご参照ください。


Japan Vulnerability Notes JVNVU#98283300:

SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)

https://jvn.jp/vu/JVNVU98283300/


CERT/CC Vulnerability Note VU#577193:

POODLE vulnerability in SSL 3.0

http://www.kb.cert.org/vuls/id/577193


CVE-2014-3566:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566



2.事象

SSLv3 の脆弱性により、中間者攻撃を行う第三者によって、暗号化された通信内容の一部を解読される可能性があります。

該当製品において、以下の機能を利用する場合に、本脆弱性の対象となります。


<対象機能>

  • WebGUI
  • WebAPI
  • ODL I/Fモード

3.該当製品

      製品と、各機能を使用した際に脆弱性に該当するバージョンの関係は下記の通りとなります。

    製品

    WebGUI/WebAPI

    ODL I/Fモード

    UNIVERGE PF6800

    Ver.6.0.1.1 未満

    Ver.6.1.0.0 以降

    UNIVERGE PF6800
    Network Coordinator

    全バージョン

     

4.対策

<UNIVERGE PF6800>

  • WebGUI、WebAPI機能を利用している場合:
    対処済みソフトウェアへバージョンアップすることにより恒久的な対策を行うことができます。
    対策済みバージョン: Ver.4.0.1.3、Ver.5.1.2.1、Ver.6.0.1.1 以降

  • ODL I/Fモードを利用している場合:
    現在、対処済みソフトウェアを提供しておりませんので、回避方法に従い設定を変更して下さい。

<UNIVERGE PF6800 Network Coordinator>

  • 現在、対処済みソフトウェアを提供しておりませんので、回避方法に従い設定を変更して下さい。

5.回避方法

<UNIVERGE PF6800>
・WebGUI、WebAPI機能を利用している場合:
  WebAPIの機能を停止することでWebGUIも停止するため、本脆弱性の影響を回避することができます。

・ODL I/Fモードを利用している場合:
  SSLでの接続を無効化し、TLSのみを利用することで本脆弱性の影響を回避することができます。
  詳細な手順はサポートへお問い合わせください。


<UNIVERGE PF6800 Network Coordinator>
・SSLでの接続を無効化し、TLSのみを利用することで本脆弱性の影響を回避することができます。
  詳細な手順はサポートへお問い合わせください。



なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。

情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

ページの先頭へ戻る