Japan
サイト内の現在位置を表示しています。
「SSL3.0の脆弱性(POODLE)」に関するご報告
-技術情報
第5版: 2015/04/17
第4版: 2015/04/10
第3版: 2015/02/06
第2版: 2014/11/19
第1版: 2014/10/28
平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、SSL3.0の脆弱性(POODLE)について報告致します。
1. 出典
US-CERT Vulnerability Note VU#577193
Date:October 17, 2014
Topic:POODLE vulnerability in SSL 3.0
https://www.kb.cert.org/vuls/id/577193/
Japan Vulnerability Notes JVNVU#98283300
https://jvn.jp/vu/JVNVU98283300/
CVE-2014-3566
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
2. 概要
SSL v3.0をサポートする機能において、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption(POODLE)攻撃の影響を受ける可能性があります。
3. 影響
IP8800シリーズ製品では、次の製品のhttpsを利用する機能で本脆弱性の影響を受けます。想定される影響は、httpsを使用する機能での暗号化通信内容の漏えいとなります。
なお、対象機種の場合でも該当機能を未使用の場合は、影響はありません。
対象装置:
・IP8800/S6700,S6600,S6300
・IP8800/S4600,S3800,S3650,S3640,S3640 ER,S3630
・IP8800/S2500,S2400,S2200,SS1200
影響を受ける機能:
・WEB認証
・OAN
4. 回避方法
・WEB認証
WEB認証を行うクライアント設定で、TLS1.0を有効(SSL2.0,SSL3.0を無効)とすることで、回避可能です。
(例)Internet Explorerの場合、ツール⇒インターネットオプション⇒詳細設定で設定可能です。
・OAN(例)Internet Explorerの場合、ツール⇒インターネットオプション⇒詳細設定で設定可能です。
AX-ON-APIを利用するサーバ側Java実行環境でTLS1.0を有効(SSL2.0,SSL3.0を無効)とすることで回避可能です。
(例) Java 7および6の場合、コントロールパネル⇒ JAVA ⇒ 詳細で設定可能です。
5. 対策
本脆弱性の対策版ソフトウェアを以下の日程でリリースします。対策版ソフトウェアでは、SSL3.0は無効化されますのでTLS1.0をご利用ください。
6. 対象製品
| No. | 装置シリーズ名 | 対象ソフトウェア | 対策バージョン | 対策版リリース日 |
|---|---|---|---|---|
| 1 | IP8800/S8600 | 本脆弱性に該当しません | - | - |
| 2 | IP8800/S6700 | 本脆弱性に該当します | Ver 11.9.K以降 | リリース済 |
| 3 | IP8800/S6600 | 本脆弱性に該当します | Ver 11.9.K以降 | リリース済 |
| 4 | IP8800/S6300 | 本脆弱性に該当します | Ver 11.9.K以降 | リリース済 |
| 5 | IP8800/S4600 | 本脆弱性に該当します | Ver 11.12以降 | リリース済 |
| 6 | IP8800/S3800 | 本脆弱性に該当します | Ver 11.13.A以降 | リリース済 |
| 7 | IP8800/S3650 | 本脆弱性に該当します | Ver 11.13.A以降 | リリース済 |
| 8 | IP8800/S3640 | 本脆弱性に該当します | Ver.11.13.A以降 | リリース済 |
| 9 | IP8800/S3640 ER | 本脆弱性に該当します | Ver.11.13.A以降 | リリース済 |
| 10 | IP8800/S3630 | 本脆弱性に該当します | Ver.11.11.D | リリース済 |
| 11 | IP8800/S2500 | 本脆弱性に該当します | Ver 4.1以降 | リリース済 |
| 12 | IP8800/S2400 | 本脆弱性に該当します | Ver 11.7.J 以降 | リリース済 |
| 13 | IP8800/S2200 | 本脆弱性に該当します | Ver 2.4.F以降 | リリース済 |
| 14 | IP8800/SS1200 | 本脆弱性に該当します | Ver 2.4.F以降 | リリース済(*) |
| 15 | IP8800/S400 | 本脆弱性に該当しません | - | - |
| 16 | IP8800/S300 | 本脆弱性に該当しません | - | - |
| 17 | IP8800/R8600 | 本脆弱性に該当しません | - | - |
| 18 | IP8800/R400 | 本脆弱性に該当しません | - | - |
なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
7. ソフトウェアの入手方法
ソフトウェアの入手やリリース日程につきましては、販売店またはお近くの弊社営業拠点にご相談下さい。