ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. UNIVERGE
  4. UNIVERGE WA シリーズ
  5. 脆弱性問題(JVN#61247051)について
ここから本文です。

脆弱性問題(JVN#61247051)について

2014年10月28日
NEC 企業ネットワーク事業部 商品基盤グループ

はじめに

  2014年6月6日にJPCERT/CCより、
  「OpenSSL における Change Cipher Spec メッセージの処理に脆弱性」
  というレポートが発表されました。

   JPCERT/CC
   Japan Vulnerability Notes JVN#61247051
    http://jvn.jp/jp/JVN61247051/index.html

   US-CERT
   Vulnerability Notes VU#978508
    http://www.kb.cert.org/vuls/id/978508

   CVE-2014-0224
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

予測される影響

  [影響を受ける条件]
    以下 2つの条件に合致する場合、この脆弱性問題の影響を受けます。

    1. 現在使用しているソフトウェアのバージョンがVer.4.2.3からVer.5.1.3の範囲に該当。
    2. 以下の機能を利用している。
       ・Web-GUI

製品カテゴリ

  [WA1020]
    Ver.4.2.3以降 Web-GUI機能で影響を受けます。
    Ver.4.1.6以前 影響を受けません。

  [WA2020, WA2021]
    Ver.4.2.3以降 Web-GUI機能で影響を受けます。
    Ver.4.1.4以前 影響を受けません。

  [WA1510, WA1511]
    Ver.5.0.4以降 Web-GUI機能で影響を受けます。

    ● Web-GUI機能
        攻撃者に暗号化鍵を推測され、
        中間者攻撃により暗号化データを解読される可能性があります。
        アカウント、パスワードなどが解読される可能性があります。

対策

  修正ソフトウェアへのバージョンアップ

  [WA1020, WA1510, WA1511, WA2020, WA2021]
    Ver5.1.8以降へのバージョンアップ

回避策

    ● Web-GUI
        以下の対策を行うことにより、本脆弱性の影響を回避することが可能です。
        ・ サポートブラウザである Internet Explorer を利用する
        ・ Web-GUI機能を利用せず、CLIでコンフィグレーションを実施する。

更新履歴

     2014年 6月10日  初版発行
     2014年 7月23日  2版発行(対策を記載)
     2014年10月28日    3版発行
                                (自動更新機能は、本脆弱性の影響を受けないため記載を削除)

ページの先頭へ戻る