Japan
サイト内の現在位置を表示しています。
SSL/TLSの実装が輸出グレードのRSA鍵を受け入れる問題(FREAK攻撃)
掲載番号:NV15-016
脆弱性情報識別番号:JVNVU#99125992, VU#243585
概要
SSL/TLSの実装の中には、意図して設定しなくても輸出グレード(512ビット以下)のRSA鍵を受け入れる
ものが存在します。
このようなソフトウエアに対して中間者攻撃(man-in-the-middle attack)が行われると、暗号化に使われ
ている鍵を解読され、SSL/TLSトラフィックの内容を復号される可能性があります。
これは「FREAK攻撃」とも呼ばれています。
対象製品
CapsSuite
影響の有無
場合のみ、本脆弱性の影響を受けます。
本脆弱性を突いた攻撃を受けると、画面アクセス時の通信内容が解読される恐れがあります。
【CapsSuite】 SSL/TLS の実装が輸出グレードのRSA鍵を受け入れる問題(FREAK攻撃)
への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3150109722
対象となる製品のバージョン
対処方法
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
※Windows Server 2003は2015/07/15にEOL(End Of Life)をむかえていますので
適切な対応をお願いします。
CSVIEW
影響の有無
CSVIEW/Webアンケートはサーバ側の設定でSSL/TLSを使用している場合、CSVIEW/FAQナビは公開系画面もしくは管理系画面でSSL/TLSを使用している場合に、本脆弱性の影響を受けます。
対象となる製品のバージョン
- CSVIEW/FAQナビ 全バージョン
対処方法
下記のOSおよびバージョンの組み合わせの場合、Red Hat社から提供される最新のOpenSSLのセキュリティパッチを適用してください。
- CSVIEW/WebアンケートV5.1 (Red Hat Enterprise Linux Server5)
- CSVIEW/WebアンケートV5.2 (Red Hat Enterprise Linux Server5)
- CSVIEW/WebアンケートV4.0 (Red Hat Enterprise Linux ES3)
- CSVIEW/WebアンケートV5.0 (Red Hat Enterprise Linux ES4)
- CSVIEW/WebアンケートV5.1 (Red Hat Enterprise Linux ES4)
- CSVIEW/WebアンケートV5.2 (Red Hat Enterprise Linux ES4)
上記(2)の適用手順の詳細については、サポートポータルからお問い合わせください。
【CSVIEW/Webアンケート】 OpenSSLの複数の脆弱性
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010101387
SSLCipherSuite:
ALL:!ADH:!EXPORT56:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:!aNULL:!eNULL |
公開系画面および管理系画面の両方でSSL/TLSを使用している場合は、それぞれの設定ファイル毎に上記設定の追加が必要となります。
EnterpriseDirectoryServer/RDB連携システム
影響の有無
LDAPS(SSL使用)を使って、EnterpriseDirectoryServer(以下、EDS)に接続する際に、
本脆弱性の影響を受ける可能性があります。
対象となる製品のバージョン
対処方法
詳細は以下のURLを参照ください。
【SECUREMASTER/EnterpriseDirectoryServer】 OpenSSL の複数の
セキュリティ脆弱性について https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103932
EnterpriseIdentityManager
影響の有無
LDAP サーバ (EnterpriseDirectoryServer、以下、EDS) との SSL 通信及びブラウザ・連携システムとの https 通信が影響を受けます。
対象となる製品のバージョン
対処方法
- 全バージョン共通
https://www.support.nec.co.jp/View.aspx?id=9010103932
- Ver.4.1 以前
- Ver.4.1 以降
Express5800/SG
影響の有無
対象となる製品のバージョン
- UNIVERGE SG3000LG/LJ
- SG3600LM/LG/LJ v6.1,v6.2,v7.0,v7.1,v8.0
- InterSecVM/SG v1.2,v3.0,v3.1,v4.0
対処方法
- mp10006xx.pkg
- mp10007xx.pkg
- mp10008xx.pkg
下記のリンク先情報を参考にパッチ適用をお願いいたします。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104421
詳細については弊社営業へお問い合わせください。
InfoCage セキュリティリスク管理
影響の有無
- 管理コンソールにてHTTPSを利用する設定をしている
- 統合サーバのOSとしてWindows Server 2003 (x86, x64)を使用している
本脆弱性を突いた攻撃を受けると、画面アクセス時の通信内容が解読される恐れがあります。
【InfoCage セキュリティリスク管理】SSL/TLSの実装が輸出グレードのRSA鍵を受け入れる問題
(FREAK攻撃)への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3150109721
対象となる製品のバージョン
対処方法
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
※Windows Server 2003は2015/07/15にEOL(End Of Life)をむかえていますので
適切な対応をお願いします。
IP38Xシリーズ
影響の有無
対象となる製品のバージョン
装置シリーズ名 |
バージョン |
IP38X/SR100 | Rev.10.00.44以降 |
対処方法
対策済みファームウェアへのリビジョンアップをお願いします。
装置シリーズ名 | ファームウェア対応状況 |
IP38X/SR100 | 順次リリース予定 |
[回避策]
コマンド:
qac-tm use off |
iStorage HSシリーズ
影響の有無
対象となる製品のバージョン
対処方法
また、Version V4.3.1向け修正物件(P4.3.1-N004)をNECサポートポータルに公開済みです。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103965
iStorage M/D/S/A/E シリーズ
影響の有無
本製品の iSM クライアント (Web GUI) を使用している場合、本脆弱性の影響があります。
iSM サーバと iSM クライアント間の通信情報の盗聴や改ざんが行われる可能性があります。
対象となる製品のバージョン
- iStorage M シリーズ (NAS オプション含む)
- iStorage D シリーズ
- iStorage S シリーズ
- iStorage E シリーズ
- iStorage A シリーズ
対処方法
https://support.microsoft.com/ja-jp/kb/3046049#/ja-jp/kb/3046049
【iStorage M/D/S/A/Eシリーズ】 SSL/TLS実装の脆弱性(CVE-2015-1637 通称:FREAK)の影響について
https://www.support.nec.co.jp/View.aspx?id=3150109689
iStorage Neシリーズ
影響の有無
iStorage NeはSSL/TLSのサーバ側として輸出グレード(512ビット以下)のRSA鍵が有効になっているため、WebGUI機能を使用している場合に本脆弱性の影響を受けます。
中間者攻撃により、通信開始時のネゴシエーションにおいて弱い鍵を使うように誘導され、暗号化されたWebGUIでの設定内容などが解読される可能性があります。
対象となる製品のバージョン
対処方法
[MS15-031] SChannel の脆弱性により、セキュリティ機能のバイパスが起こる (2015 年 3 月 10 日)
https://support.microsoft.com/ja-jp/kb/3046049#/ja-jp/kb/3046049
iStorage NV シリーズ
影響の有無
対象となる製品のバージョン
- NV7500/ NV5500/ NV3500シリーズ
- NV7400/ NV5400/ NV3400シリーズ
対処方法
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104104
パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。
SecureWare/PKIアプリケーション開発キット
影響の有無
対象となる製品のバージョン
- SecureWare/PKIアプリケーション開発キット Ver3.0、3.01、3.02、3.1
対処方法
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
UNIVERGE 3C
影響の有無
対象となる製品のバージョン
- UCM: V8.5.4以前
- CMM: 全バージョン
対処方法
- UCM
詳細につきましては弊社営業にお問合せください。
- CMM
詳細につきましては弊社営業にお問合せください。
WebOTX
影響の有無
対象となる製品のバージョン
- WebOTX Web Edition V4.1~V6.5
- WebOTX Standard-J Edition V4.1~V6.5
- WebOTX Standard Edition V4.2~V6.5
- WebOTX Enterprise Edition V4.2~V6.5
- WebOTX Application Server Web Edition V7.1~V8.1
- WebOTX Application Server Standard-J Edition V7.1~V8.1
- WebOTX Application Server Standard Edition V7.1
- WebOTX Application Server Enterprise Edition V7.1
- WebOTX Application Server Express V8.2~V9.2
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V9.2
- WebOTX Application Server Enterprise V8.2~V9.2
- WebOTX Enterprise Service Bus V6.4~V9.2
- WebOTX SIP Application Server Standard Edition V7.1~V8.1
- WebOTX Portal V8.2~V9.1
- WebOTX UDDI Registry V1.1~V7.1
対処方法
Webサーバ 2.4用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103925
Webサーバ 2.2(WebOTX V8.4/V9.1/V9.2/V9.3)用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102290
Webサーバ 2.2(WebOTX V8.2/V8.3)用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102287
Webサーバ 2.0用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010100937
WebSAM Application Navigator
影響の有無
対象となる製品のバージョン
Application Navigator Probe Optionで、FTP/DNS/MAIL/TCPを監視している場合に影響があります。
※ WebSAM Application Navigator の View で、メニューバーの「ヘルプ(H)」-「バージョン情報(A)...」を選択し、表示されるバージョン情報を確認してください。
対処方法
- WebSAM Application Navigator Manager Ver4.1.1.1
- WebSAM Application Navigator View Ver4.1.1.1
- WebSAM Application Navigator Probe Agent Ver4.1.1.1
ご不明な点があれば弊社営業にお問い合わせください。
WebSAM JobCenter
影響の有無
対象となる製品のバージョン
- JobCenter CL/Web R13.1
- JobCenter CL/Web R13.2
下記のJVMを利用中の場合に脆弱性の影響を受けます。
- Oracle Java SE Runtime Environment 5.0 Update 81 以下
- Oracle Java SE Runtime Environment 6 Update 91 以下
- Oracle Java SE Development Kit 5.0 Update 81 以下
- Oracle Java SE Development Kit 6 Update 91 以下
対処方法
UNIVERGE PFシリーズ
影響の有無
対象となる製品のバージョン
- - PF5240:
- V1.0.1.0
- V2.0.0.2、V2.0.0.3
- V3.0.0.0~V3.0.0.6
- V4.0.0.0~V4.0.1.3
- V5.0.0.1~V5.0.0.3
- V5.1.0.0~V5.1.1.3
- V6.0.0.0~V6.0.2.0 - - PF5248: - V4.0.0.0~V4.0.1.3
- V5.0.0.1~V5.0.0.3
- V5.1.0.0~V5.1.1.3
- V6.0.0.0~V6.0.2.0 - - PF5220: - V4.0.0.0
- V5.0.0.1
- V5.1.0.0~V5.1.1.3
- V6.0.0.0~V6.0.2.0 - - PF5241: - V6.0.0.0~V6.0.1.1
対処方法
- V5.1.1.4、V6.0.2.1
ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。
参考情報
Japan Vulnerability Notes JVNVU#99125992:
SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)
https://jvn.jp/vu/JVNVU99125992/
CERT/CC Vulnerability Note VU#243585:
SSL/TLS implementations accept export-grade RSA keys (FREAK attack)
https://www.kb.cert.org/vuls/id/243585
CVE-2015-0204:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
更新情報
- 2020/12/18
- 2017/03/08
- 2016/09/14
- 2016/07/08
- 2016/06/20
- 2016/03/02
- 2015/12/16
- 2015/11/25
- 2015/11/20
- 2015/10/30