Japan

関連リンク

関連リンク

関連リンク

関連リンク

サイト内の現在位置を表示しています。

「SSL3.0の脆弱性(POODLE)」に関するご報告

-技術情報

第5版: 2015/04/17
第4版: 2015/04/10
第3版: 2015/02/06
第2版: 2014/11/19
第1版: 2014/10/28

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、SSL3.0の脆弱性(POODLE)について報告致します。

1. 出典

US-CERT Vulnerability Note VU#577193
Date:October 17, 2014
Topic:POODLE vulnerability in SSL 3.0
https://www.kb.cert.org/vuls/id/577193/
 
Japan Vulnerability Notes JVNVU#98283300
https://jvn.jp/vu/JVNVU98283300/
 
CVE-2014-3566
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566

2. 概要

SSL v3.0をサポートする機能において、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption(POODLE)攻撃の影響を受ける可能性があります。

3. 影響

IP8800シリーズ製品では、次の製品のhttpsを利用する機能で本脆弱性の影響を受けます。想定される影響は、httpsを使用する機能での暗号化通信内容の漏えいとなります。
なお、対象機種の場合でも該当機能を未使用の場合は、影響はありません。

対象装置:
・IP8800/S6700,S6600,S6300
・IP8800/S4600,S3800,S3650,S3640,S3640 ER,S3630
・IP8800/S2500,S2400,S2200,SS1200

影響を受ける機能:
・WEB認証
・OAN

4. 回避方法

・WEB認証

WEB認証を行うクライアント設定で、TLS1.0を有効(SSL2.0,SSL3.0を無効)とすることで、回避可能です。
(例)Internet Explorerの場合、ツール⇒インターネットオプション⇒詳細設定で設定可能です。

・OAN

AX-ON-APIを利用するサーバ側Java実行環境でTLS1.0を有効(SSL2.0,SSL3.0を無効)とすることで回避可能です。
(例) Java 7および6の場合、コントロールパネル⇒ JAVA ⇒ 詳細で設定可能です。

5. 対策

本脆弱性の対策版ソフトウェアを以下の日程でリリースします。対策版ソフトウェアでは、SSL3.0は無効化されますのでTLS1.0をご利用ください。

6. 対象製品

No. 装置シリーズ名 対象ソフトウェア 対策バージョン 対策版リリース日
1 IP8800/S8600 本脆弱性に該当しません
2 IP8800/S6700 本脆弱性に該当します Ver 11.9.K以降 リリース済
3 IP8800/S6600 本脆弱性に該当します Ver 11.9.K以降 リリース済
4 IP8800/S6300 本脆弱性に該当します Ver 11.9.K以降 リリース済
5 IP8800/S4600 本脆弱性に該当します Ver 11.12以降 リリース済
6 IP8800/S3800 本脆弱性に該当します Ver 11.13.A以降 リリース済
7 IP8800/S3650 本脆弱性に該当します Ver 11.13.A以降 リリース済
8 IP8800/S3640 本脆弱性に該当します Ver.11.13.A以降 リリース済
9 IP8800/S3640 ER 本脆弱性に該当します Ver.11.13.A以降 リリース済
10 IP8800/S3630 本脆弱性に該当します Ver.11.11.D リリース済
11 IP8800/S2500 本脆弱性に該当します Ver 4.1以降 リリース済
12 IP8800/S2400 本脆弱性に該当します Ver 11.7.J 以降 リリース済
13 IP8800/S2200 本脆弱性に該当します Ver 2.4.F以降 リリース済
14 IP8800/SS1200 本脆弱性に該当します Ver 2.4.F以降 リリース済(*)
15 IP8800/S400 本脆弱性に該当しません
16 IP8800/S300 本脆弱性に該当しません
17 IP8800/R8600 本脆弱性に該当しません
18 IP8800/R400 本脆弱性に該当しません
 (*)IP8800/SS1230は、対策版ソフトウェアのリリース予定はございません。

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

7. ソフトウェアの入手方法

ソフトウェアの入手やリリース日程につきましては、販売店またはお近くの弊社営業拠点にご相談下さい。

Escキーで閉じる 閉じる