サイト内の現在位置を表示しています。

SSL/TLSの実装が輸出グレードのRSA鍵を受け入れる問題(FREAK攻撃)

掲載番号:NV15-016
脆弱性情報識別番号:JVNVU#99125992, VU#243585

概要

SSL/TLSの実装の中には、意図して設定しなくても輸出グレード(512ビット以下)のRSA鍵を受け入れる
ものが存在します。
このようなソフトウエアに対して中間者攻撃(man-in-the-middle attack)が行われると、暗号化に使われ
ている鍵を解読され、SSL/TLSトラフィックの内容を復号される可能性があります。
これは「FREAK攻撃」とも呼ばれています。

対象製品

CapsSuite

影響の有無

影響あり

CapsSuite統合管理サーバのOSとしてWindows Server 2003 (x86, x64)を使用している
場合のみ、本脆弱性の影響を受けます。
本脆弱性を突いた攻撃を受けると、画面アクセス時の通信内容が解読される恐れがあります。

【CapsSuite】 SSL/TLS の実装が輸出グレードのRSA鍵を受け入れる問題(FREAK攻撃)
への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3150109722

対象となる製品のバージョン

    CapsSuite V4~V5.1

対処方法

CSVIEW

影響の有無

    影響あり

    CSVIEW/Webアンケートはサーバ側の設定でSSL/TLSを使用している場合、CSVIEW/FAQナビは公開系画面もしくは管理系画面でSSL/TLSを使用している場合に、本脆弱性の影響を受けます。

対象となる製品のバージョン

    - CSVIEW/Webアンケート 全バージョン
    - CSVIEW/FAQナビ 全バージョン

対処方法

CSVIEW/Webアンケートは下記対策、CSVIEW/FAQナビは下記回避策にて対処してください。

[対策]
CSVIEW/Webアンケート
(1)Red Hat Enterprise Linux Server5
下記のOSおよびバージョンの組み合わせの場合、Red Hat社から提供される最新のOpenSSLのセキュリティパッチを適用してください。
- CSVIEW/WebアンケートV5.1 (Red Hat Enterprise Linux Server5)
- CSVIEW/WebアンケートV5.2 (Red Hat Enterprise Linux Server5)

(2)Red Hat Enterprise Linux ES3, ES4
下記のOSおよびバージョンの組み合わせの場合、OpenSSLのサイト(https://www.openssl.org/source/) より、openssl-0.9.8zf.tar.gz のソースコードを入手・ビルドして、システムにOpenSSL 0.9.8zfを適用してください。
- CSVIEW/WebアンケートV4.0 (Red Hat Enterprise Linux ES3)
- CSVIEW/WebアンケートV5.0 (Red Hat Enterprise Linux ES4)
- CSVIEW/WebアンケートV5.1 (Red Hat Enterprise Linux ES4)
- CSVIEW/WebアンケートV5.2 (Red Hat Enterprise Linux ES4)

上記(2)の適用手順の詳細については、サポートポータルからお問い合わせください。

【CSVIEW/Webアンケート】 OpenSSLの複数の脆弱性
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010101387

[回避策]
CSVIEW/FAQナビ
Apacheの設定ファイル(ssl.conf)で、SSLCipherSuiteディレクティブを下記のように修正することにより該当脆弱性の影響を回避することが可能です。

SSLCipherSuite:
ALL:!ADH:!EXPORT56:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:!aNULL:!eNULL
設定変更は、Apacheのサービスを再起動することで有効になります。

公開系画面および管理系画面の両方でSSL/TLSを使用している場合は、それぞれの設定ファイル毎に上記設定の追加が必要となります。

EnterpriseDirectoryServer/RDB連携システム

影響の有無

    影響あり

    LDAPS(SSL使用)を使って、EnterpriseDirectoryServer(以下、EDS)に接続する際に、
    本脆弱性の影響を受ける可能性があります。

対象となる製品のバージョン

    EDS Ver6.0~Ver8.0

対処方法

[対策]
EDSに同梱のOpenSSLのバージョンアップパッチを適用してください。
詳細は以下のURLを参照ください。

【SECUREMASTER/EnterpriseDirectoryServer】 OpenSSL の複数の
セキュリティ脆弱性について https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103932

EnterpriseIdentityManager

影響の有無

影響あり

LDAP サーバ (EnterpriseDirectoryServer、以下、EDS) との SSL 通信及びブラウザ・連携システムとの https 通信が影響を受けます。

対象となる製品のバージョン

EnterpriseIdentityManager 全バージョン

対処方法

[対策]
  • 全バージョン共通
以下に従い、EDS への対策を実施して下さい。
https://www.support.nec.co.jp/View.aspx?id=9010103932

  • Ver.4.1 以前
Tomcat の server.xml の SSL 用 Connector の ciphers 属性で輸出グレード暗号を除外したものを設定してください。

  • Ver.4.1 以降
特権 ID オプションを利用している場合のみ、Microsoft 社の案内に従い、MS15-031 の更新プログラムを適用してください。

Express5800/SG

影響の有無

    影響あり

対象となる製品のバージョン

  • UNIVERGE SG3000LG/LJ
  • SG3600LM/LG/LJ v6.1,v6.2,v7.0,v7.1,v8.0
  • InterSecVM/SG v1.2,v3.0,v3.1,v4.0

対処方法

[対策]
下記のバージョンのパッチをリリースしています。
  • mp10006xx.pkg
  • mp10007xx.pkg
  • mp10008xx.pkg

下記のリンク先情報を参考にパッチ適用をお願いいたします。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104421

詳細については弊社営業へお問い合わせください。

InfoCage セキュリティリスク管理

影響の有無

影響あり

以下の条件をすべて満たす場合のみ、本脆弱性の影響を受けます。
  • 管理コンソールにてHTTPSを利用する設定をしている
  • 統合サーバのOSとしてWindows Server 2003 (x86, x64)を使用している

本脆弱性を突いた攻撃を受けると、画面アクセス時の通信内容が解読される恐れがあります。

【InfoCage セキュリティリスク管理】SSL/TLSの実装が輸出グレードのRSA鍵を受け入れる問題
(FREAK攻撃)への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3150109721

対象となる製品のバージョン

InfoCage セキュリティリスク管理 V1.0.2~V2.1.4

対処方法

IP38Xシリーズ

影響の有無

影響あり

IP38Xシリーズ IP38X/SR100のQAC/TM機能がこの脆弱性の影響を受け、中間者攻撃(man-in-the-middle attack)により、QAC/TMで行われる通信の内容を復号される可能性があります。

なお、工場出荷状態ではQAC/TM機能は無効になっています。

対象となる製品のバージョン

装置シリーズ名
バージョン
IP38X/SR100 Rev.10.00.44以降

対処方法

    [対策]
この脆弱性への対策をしたファームウェアのリリースを予定しています。
対策済みファームウェアへのリビジョンアップをお願いします。
装置シリーズ名 ファームウェア対応状況
IP38X/SR100 順次リリース予定

    [回避策]
QAC/TM機能を停止する。

コマンド:
qac-tm use off

iStorage HSシリーズ

影響の有無

    影響あり

対象となる製品のバージョン

    全システムバージョン

対処方法

[対策]
Version 4.4.0で修正済みです。
また、Version V4.3.1向け修正物件(P4.3.1-N004)をNECサポートポータルに公開済みです。

https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103965

iStorage M/D/S/A/E シリーズ

影響の有無

影響あり

本製品の iSM クライアント (Web GUI) を使用している場合、本脆弱性の影響があります。
iSM サーバと iSM クライアント間の通信情報の盗聴や改ざんが行われる可能性があります。

対象となる製品のバージョン

  • iStorage M シリーズ (NAS オプション含む)
  • iStorage D シリーズ
  • iStorage S シリーズ
  • iStorage E シリーズ
  • iStorage A シリーズ

対処方法

[対策]
iSM クライアント (Web GUI) を利用する PC に、Microsoft のセキュリティパッチを適用してください。
https://support.microsoft.com/ja-jp/kb/3046049#/ja-jp/kb/3046049

【iStorage M/D/S/A/Eシリーズ】 SSL/TLS実装の脆弱性(CVE-2015-1637 通称:FREAK)の影響について
https://www.support.nec.co.jp/View.aspx?id=3150109689

iStorage Neシリーズ

影響の有無

    影響あり

    iStorage NeはSSL/TLSのサーバ側として輸出グレード(512ビット以下)のRSA鍵が有効になっているため、WebGUI機能を使用している場合に本脆弱性の影響を受けます。
    中間者攻撃により、通信開始時のネゴシエーションにおいて弱い鍵を使うように誘導され、暗号化されたWebGUIでの設定内容などが解読される可能性があります。

対象となる製品のバージョン

    Ver.002.05.00以降のバージョン

対処方法

    [回避策]
    WebブラウザによるGUIアクセスを行うクライアントに、Microsoftのセキュリティパッチを適用してください。

    [MS15-031] SChannel の脆弱性により、セキュリティ機能のバイパスが起こる (2015 年 3 月 10 日)
    https://support.microsoft.com/ja-jp/kb/3046049#/ja-jp/kb/3046049

iStorage NV シリーズ

影響の有無

影響あり

対象となる製品のバージョン

  • NV7500/ NV5500/ NV3500シリーズ
  • NV7400/ NV5400/ NV3400シリーズ

対処方法

[対策]
以下のURLでパッチを公開しています。

https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104104

パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。

SecureWare/PKIアプリケーション開発キット

影響の有無

影響あり

対象となる製品のバージョン

  • SecureWare/PKIアプリケーション開発キット Ver3.0、3.01、3.02、3.1

対処方法

[対策]
SecureWare/PKIアプリケーション開発キット Ver3.2 以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。

UNIVERGE 3C

影響の有無

影響あり

対象となる製品のバージョン

  • UCM: V8.5.4以前
  • CMM: 全バージョン

対処方法

[対策]
  • UCM
V8.6.1以降にバージョンアップすることで対処できます。
詳細につきましては弊社営業にお問合せください。

  • CMM
Ubuntu をアップグレードすることで対処できます。
詳細につきましては弊社営業にお問合せください。

WebOTX

影響の有無

    影響あり

対象となる製品のバージョン

  • WebOTX Web Edition V4.1~V6.5
  • WebOTX Standard-J Edition V4.1~V6.5
  • WebOTX Standard Edition V4.2~V6.5
  • WebOTX Enterprise Edition V4.2~V6.5
  • WebOTX Application Server Web Edition V7.1~V8.1
  • WebOTX Application Server Standard-J Edition V7.1~V8.1
  • WebOTX Application Server Standard Edition V7.1
  • WebOTX Application Server Enterprise Edition V7.1
  • WebOTX Application Server Express V8.2~V9.2
  • WebOTX Application Server Foundation V8.2~V8.5
  • WebOTX Application Server Standard V8.2~V9.2
  • WebOTX Application Server Enterprise V8.2~V9.2
  • WebOTX Enterprise Service Bus V6.4~V9.2
  • WebOTX SIP Application Server Standard Edition V7.1~V8.1
  • WebOTX Portal V8.2~V9.1
  • WebOTX UDDI Registry V1.1~V7.1

 

対処方法

    [対策]
修正されたバージョンのOpenSSLを取り込んだパッチモジュールを適用してください。

Webサーバ 2.4用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103925

Webサーバ 2.2(WebOTX V8.4/V9.1/V9.2/V9.3)用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102290

Webサーバ 2.2(WebOTX V8.2/V8.3)用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102287

Webサーバ 2.0用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010100937

WebSAM Application Navigator

影響の有無

    影響あり

対象となる製品のバージョン

    Ver3.1.0.x - Ver4.1.0.x
    Application Navigator Probe Optionで、FTP/DNS/MAIL/TCPを監視している場合に影響があります。

    ※ WebSAM Application Navigator の View で、メニューバーの「ヘルプ(H)」-「バージョン情報(A)...」を選択し、表示されるバージョン情報を確認してください。

対処方法

    [対策]
    「UW03A4-HT0A00 WebSAM Media 2015/10月版」を入手し、以下のバージョンにアップデートしてください。

    • WebSAM Application Navigator Manager Ver4.1.1.1
    • WebSAM Application Navigator View Ver4.1.1.1
    • WebSAM Application Navigator Probe Agent Ver4.1.1.1

    ご不明な点があれば弊社営業にお問い合わせください。

WebSAM JobCenter

影響の有無

影響あり

対象となる製品のバージョン

  • JobCenter CL/Web R13.1
  • JobCenter CL/Web R13.2

下記のJVMを利用中の場合に脆弱性の影響を受けます。
  • Oracle Java SE Runtime Environment 5.0 Update 81 以下
  • Oracle Java SE Runtime Environment 6 Update 91 以下
  • Oracle Java SE Development Kit 5.0 Update 81 以下
  • Oracle Java SE Development Kit 6 Update 91 以下

 

対処方法

[対策]
本脆弱性を修正したJava for Business のパッチを適用するか、最新の Java 7 または Java 8 へ移行してください。

UNIVERGE PFシリーズ

影響の有無

影響あり
 

対象となる製品のバージョン

  • - PF5240:
     - V1.0.1.0
     - V2.0.0.2、V2.0.0.3
     - V3.0.0.0~V3.0.0.6
     - V4.0.0.0~V4.0.1.3
     - V5.0.0.1~V5.0.0.3
     - V5.1.0.0~V5.1.1.3
     - V6.0.0.0~V6.0.2.0
  • - PF5248:  - V4.0.0.0~V4.0.1.3
     - V5.0.0.1~V5.0.0.3
     - V5.1.0.0~V5.1.1.3
     - V6.0.0.0~V6.0.2.0
  • - PF5220:  - V4.0.0.0
     - V5.0.0.1
     - V5.1.0.0~V5.1.1.3
     - V6.0.0.0~V6.0.2.0
  • - PF5241:  - V6.0.0.0~V6.0.1.1

対処方法

[対策]
PF5240、PF5248、PF5220については、次のバージョンのソフトウェアで対応完了しています。最新のバージョンにバージョンアップしてください。
- V5.1.1.4、V6.0.2.1
ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。

参考情報

Japan Vulnerability Notes JVNVU#99125992:
SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)
https://jvn.jp/vu/JVNVU99125992/

CERT/CC Vulnerability Note VU#243585:
SSL/TLS implementations accept export-grade RSA keys (FREAK attack)
https://www.kb.cert.org/vuls/id/243585

CVE-2015-0204:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204

更新情報