ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. UNIVERGE
  4. UNIVERGE WA シリーズ
  5. 脆弱性問題(JVNVU#99125992)について
ここから本文です。

脆弱性問題(JVNVU#99125992)について

2015年4月1日
NEC スマートネットワーク事業部 データ・セキュリティ製品事業グループ

はじめに

 2015年3月9日にJPCERT/CCより、
 「SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)」
 というレポートが発表されました。
 
 JPCERT/CC
 Japan Vulnerability Notes JVNVU#99125992
 http://jvn.jp/vu/JVNVU99125992/

 CERT/CC
 Vulnerability Note VU#243585
 http://www.kb.cert.org/vuls/id/243585

 CVE-2015-0204
 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204

予測される影響

  [影響を受ける条件]
    以下 2つの条件に合致する場合、この脆弱性問題の影響を受けます。

    1. 現在使用しているソフトウェアのバージョンが ver.4.2.3 から ver.7.0.3 の範囲に該当。
    2. 以下の機能を利用している。
       ・自動更新機能でHTTPSを利用している。 
       ・ダイナミックDNS機能でHTTPSを利用している。
       ・Web-GUIを利用している。

製品カテゴリ

  [WA1020]
    Ver.7.0.3 以降 自動更新機能、ダイナミックDNS機能で影響を受けます。
    Ver.4.2.3 以降 Web-GUI機能で影響を受けます。
    Ver.4.1.6 以前 影響を受けません

  [WA2020, WA2021]
    Ver.4.2.3以降 Web-GUI機能で影響を受けます。
    Ver.4.1.4以前 影響を受けません。

  [WA1510, WA1511]
    Ver.5.0.4以降 Web-GUI機能で影響を受けます。

    ● 自動更新機能(自動バージョンアップ、自動コンフィグファイル更新)
        中間者攻撃を行う第三者によって、
        暗号化された通信内容の一部を解読される可能性があります。
        ダウンロード中のファームウェアデータ、コンフィグデータが
        解読される可能性があります。
 
    ● ダイナミックDNS機能
        中間者攻撃を行う第三者によって、
        暗号化された通信内容の一部を解読される可能性があります。
        ダイナミックDNSの更新情報、アカウント、パスワードなどが
        解読される可能性があります。

    ● Web-GUI機能
        中間者攻撃を行う第三者によって、
        暗号化された通信内容の一部を解読される可能性があります。
        ダウンロード中のCA証明書が解読され、
        設定する内容が解読される可能性があります。

対策

  [WA1020, WA1510, WA1511, WA2021]
    修正ソフトウェア(Ver7.0.4以降)へのバージョンアップ

  [WA2020]
    修正ソフトウェアへのバージョンアップ

    本脆弱性は、SSLv3プロトコル自体の仕組みに起因した問題のため、SSLv3プロトコルに
    おける対策が施された後に、当該製品の修正ソフトウェアのリリースを検討いたします。
 
    ※ 現時点では修正ソフトウェアのリリースバージョン、およびリリース時期については
        検討中です。確定次第、本報告のアップデートを行います。それまでは、回避策にて
        対処をお願いいたします。

回避策

    ● 自動更新機能
        以下の対策を行うことにより、本脆弱性の影響を回避することが可能です。 
        ・接続先サーバの本脆弱性を排除する。
         輸出グレードのRSA鍵を、サーバ機能で使用不能にすることで、
         脆弱性を排除できます。

        ・HTTPSを使用しない(HTTPにて接続を行う)
        ※サーバ接続にHTTPSを使用しないことにより、本脆弱性の回避は可能ですが、
           HTTPは通信が暗号化されないため、HTTPSのままでご利用いただく方がデータを
           解読されるリスクは低くなります。

     ● ダイナミックDNS機能
        以下の対策を行うことにより、本脆弱性の影響を回避することが可能です。
        ・接続先サーバの本脆弱性を排除する。
         輸出グレードのRSA鍵を、サーバ機能で使用不能にすることで、
         脆弱性を排除できます。

        ・HTTPSを使用しない(HTTPにて接続を行う)
        ※サーバ接続にHTTPSを使用しないことにより、本脆弱性の回避は可能ですが、
          HTTPは通信が暗号化されないため、HTTPSのままでご利用いただく方がデータを
          解読されるリスクは低くなります。

     ● Web-GUI
        以下の対策を行うことにより、本脆弱性の影響を回避することが可能です。
        ・Web-GUIを使用せず、CLIを使用する。
         Web-GUIを使用しないことで、本脆弱性の影響を回避することが可能です。
  
        ・HTTPSを使用しない(HTTPにて接続を行う)
         ※HTTPSを使用しないことにより、本脆弱性の回避は可能ですが、
          HTTPは通信が暗号化されないため、HTTPSのままでご利用いただく方がデータを
          解読されるリスクは低くなります。

更新履歴

     2015年 4月1日  初版発行

ページの先頭へ戻る