Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.
SSL/TLSの実装が輸出グレードのRSA鍵を受け入れる問題(FREAK攻撃)
掲載番号:NV15-016
脆弱性情報識別番号:JVNVU#99125992, VU#243585
概要
SSL/TLSの実装の中には、意図して設定しなくても輸出グレード(512ビット以下)のRSA鍵を受け入れる
ものが存在します。
このようなソフトウエアに対して中間者攻撃(man-in-the-middle attack)が行われると、暗号化に使われ
ている鍵を解読され、SSL/TLSトラフィックの内容を復号される可能性があります。
これは「FREAK攻撃」とも呼ばれています。
対象製品
CapsSuite
影響の有無
影響あり
CapsSuite統合管理サーバのOSとしてWindows Server 2003 (x86, x64)を使用している
場合のみ、本脆弱性の影響を受けます。
本脆弱性を突いた攻撃を受けると、画面アクセス時の通信内容が解読される恐れがあります。
【CapsSuite】 SSL/TLS の実装が輸出グレードのRSA鍵を受け入れる問題(FREAK攻撃)
への影響と対策について
http://www.support.nec.co.jp/View.aspx?id=3150109722
場合のみ、本脆弱性の影響を受けます。
本脆弱性を突いた攻撃を受けると、画面アクセス時の通信内容が解読される恐れがあります。
【CapsSuite】 SSL/TLS の実装が輸出グレードのRSA鍵を受け入れる問題(FREAK攻撃)
への影響と対策について
http://www.support.nec.co.jp/View.aspx?id=3150109722
対象となる製品のバージョン
CapsSuite V4~V5.1
対処方法
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
[対策]
修正プログラム(KB3046049)で対処済みです。
※Windows Server 2003は2015/07/15にEOL(End Of Life)をむかえていますので
適切な対応をお願いします。
※Windows Server 2003は2015/07/15にEOL(End Of Life)をむかえていますので
適切な対応をお願いします。
CSVIEW
影響の有無
影響あり
CSVIEW/Webアンケートはサーバ側の設定でSSL/TLSを使用している場合、CSVIEW/FAQナビは公開系画面もしくは管理系画面でSSL/TLSを使用している場合に、本脆弱性の影響を受けます。
CSVIEW/Webアンケートはサーバ側の設定でSSL/TLSを使用している場合、CSVIEW/FAQナビは公開系画面もしくは管理系画面でSSL/TLSを使用している場合に、本脆弱性の影響を受けます。
対象となる製品のバージョン
- CSVIEW/Webアンケート 全バージョン
- CSVIEW/FAQナビ 全バージョン
- CSVIEW/FAQナビ 全バージョン
対処方法
CSVIEW/Webアンケートは下記対策、CSVIEW/FAQナビは下記回避策にて対処してください。
[対策]
CSVIEW/Webアンケート
(1)Red Hat Enterprise Linux Server5
下記のOSおよびバージョンの組み合わせの場合、Red Hat社から提供される最新のOpenSSLのセキュリティパッチを適用してください。
- CSVIEW/WebアンケートV5.1 (Red Hat Enterprise Linux Server5)
- CSVIEW/WebアンケートV5.2 (Red Hat Enterprise Linux Server5)
(2)Red Hat Enterprise Linux ES3, ES4下記のOSおよびバージョンの組み合わせの場合、Red Hat社から提供される最新のOpenSSLのセキュリティパッチを適用してください。
- CSVIEW/WebアンケートV5.1 (Red Hat Enterprise Linux Server5)
- CSVIEW/WebアンケートV5.2 (Red Hat Enterprise Linux Server5)
下記のOSおよびバージョンの組み合わせの場合、OpenSSLのサイト(http://www.openssl.org/source/) より、openssl-0.9.8zf.tar.gz のソースコードを入手・ビルドして、システムにOpenSSL 0.9.8zfを適用してください。
- CSVIEW/WebアンケートV4.0 (Red Hat Enterprise Linux ES3)
- CSVIEW/WebアンケートV5.0 (Red Hat Enterprise Linux ES4)
- CSVIEW/WebアンケートV5.1 (Red Hat Enterprise Linux ES4)
- CSVIEW/WebアンケートV5.2 (Red Hat Enterprise Linux ES4)
上記(2)の適用手順の詳細については、サポートポータルからお問い合わせください。
【CSVIEW/Webアンケート】 OpenSSLの複数の脆弱性
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010101387
- CSVIEW/WebアンケートV4.0 (Red Hat Enterprise Linux ES3)
- CSVIEW/WebアンケートV5.0 (Red Hat Enterprise Linux ES4)
- CSVIEW/WebアンケートV5.1 (Red Hat Enterprise Linux ES4)
- CSVIEW/WebアンケートV5.2 (Red Hat Enterprise Linux ES4)
上記(2)の適用手順の詳細については、サポートポータルからお問い合わせください。
【CSVIEW/Webアンケート】 OpenSSLの複数の脆弱性
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010101387
[回避策]
CSVIEW/FAQナビ
Apacheの設定ファイル(ssl.conf)で、SSLCipherSuiteディレクティブを下記のように修正することにより該当脆弱性の影響を回避することが可能です。
SSLCipherSuite:
設定変更は、Apacheのサービスを再起動することで有効になります。
公開系画面および管理系画面の両方でSSL/TLSを使用している場合は、それぞれの設定ファイル毎に上記設定の追加が必要となります。
SSLCipherSuite:
|
ALL:!ADH:!EXPORT56:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:!aNULL:!eNULL
|
公開系画面および管理系画面の両方でSSL/TLSを使用している場合は、それぞれの設定ファイル毎に上記設定の追加が必要となります。
EnterpriseDirectoryServer/RDB連携システム
影響の有無
影響あり
LDAPS(SSL使用)を使って、EnterpriseDirectoryServer(以下、EDS)に接続する際に、
本脆弱性の影響を受ける可能性があります。
LDAPS(SSL使用)を使って、EnterpriseDirectoryServer(以下、EDS)に接続する際に、
本脆弱性の影響を受ける可能性があります。
対象となる製品のバージョン
EDS Ver6.0~Ver8.0
対処方法
[対策]
EDSに同梱のOpenSSLのバージョンアップパッチを適用してください。
詳細は以下のURLを参照ください。
セキュリティ脆弱性について
詳細は以下のURLを参照ください。
セキュリティ脆弱性について
EnterpriseIdentityManager
影響の有無
影響あり
LDAP サーバ (EnterpriseDirectoryServer、以下、EDS) との SSL 通信及びブラウザ・連携システムとの https 通信が影響を受けます。
LDAP サーバ (EnterpriseDirectoryServer、以下、EDS) との SSL 通信及びブラウザ・連携システムとの https 通信が影響を受けます。
対象となる製品のバージョン
EnterpriseIdentityManager 全バージョン
対処方法
[対策]
- 全バージョン共通
以下に従い、EDS への対策を実施して下さい。
http://www.support.nec.co.jp/View.aspx?id=9010103932
http://www.support.nec.co.jp/View.aspx?id=9010103932
- Ver.4.1 以前
Tomcat の server.xml の SSL 用 Connector の ciphers 属性で輸出グレード暗号を除外したものを設定してください。
- Ver.4.1 以降
特権 ID オプションを利用している場合のみ、Microsoft 社の案内に従い、MS15-031 の更新プログラムを適用してください。
Express5800/SG
影響の有無
影響あり
対象となる製品のバージョン
- UNIVERGE SG3000LG/LJ
- SG3600LM/LG/LJ v6.1,v6.2,v7.0,v7.1,v8.0
- InterSecVM/SG v1.2,v3.0,v3.1,v4.0
対処方法
[対策]
下記のバージョンのパッチをリリースしています。
下記のリンク先情報を参考にパッチ適用をお願いいたします。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104421
詳細については弊社営業へお問い合わせください。
- mp10006xx.pkg
- mp10007xx.pkg
- mp10008xx.pkg
下記のリンク先情報を参考にパッチ適用をお願いいたします。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104421
詳細については弊社営業へお問い合わせください。
InfoCage セキュリティリスク管理
影響の有無
- 管理コンソールにてHTTPSを利用する設定をしている
- 統合サーバのOSとしてWindows Server 2003 (x86, x64)を使用している
影響あり
以下の条件をすべて満たす場合のみ、本脆弱性の影響を受けます。
本脆弱性を突いた攻撃を受けると、画面アクセス時の通信内容が解読される恐れがあります。
【InfoCage セキュリティリスク管理】SSL/TLSの実装が輸出グレードのRSA鍵を受け入れる問題
(FREAK攻撃)への影響と対策について
http://www.support.nec.co.jp/View.aspx?id=3150109721
本脆弱性を突いた攻撃を受けると、画面アクセス時の通信内容が解読される恐れがあります。
【InfoCage セキュリティリスク管理】SSL/TLSの実装が輸出グレードのRSA鍵を受け入れる問題
(FREAK攻撃)への影響と対策について
http://www.support.nec.co.jp/View.aspx?id=3150109721
対象となる製品のバージョン
InfoCage セキュリティリスク管理 V1.0.2~V2.1.4
対処方法
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
[対策]
修正プログラム(KB3046049)で対処済みです。
※Windows Server 2003は2015/07/15にEOL(End Of Life)をむかえていますので
適切な対応をお願いします。
※Windows Server 2003は2015/07/15にEOL(End Of Life)をむかえていますので
適切な対応をお願いします。
IP38Xシリーズ
影響の有無
影響あり
IP38Xシリーズ IP38X/SR100のQAC/TM機能がこの脆弱性の影響を受け、中間者攻撃(man-in-the-middle attack)により、QAC/TMで行われる通信の内容を復号される可能性があります。
なお、工場出荷状態ではQAC/TM機能は無効になっています。
対象となる製品のバージョン
| 装置シリーズ名 |
バージョン |
| IP38X/SR100 | Rev.10.00.44以降 |
対処方法
[対策]
この脆弱性への対策をしたファームウェアのリリースを予定しています。
対策済みファームウェアへのリビジョンアップをお願いします。
対策済みファームウェアへのリビジョンアップをお願いします。
| 装置シリーズ名 | ファームウェア対応状況 |
| IP38X/SR100 | 順次リリース予定 |
[回避策]
QAC/TM機能を停止する。
コマンド:
コマンド:
|
qac-tm use off
|
iStorage HSシリーズ
影響の有無
影響あり
対象となる製品のバージョン
全システムバージョン
対処方法
[対策]
Version 4.4.0で修正済みです。
また、Version V4.3.1向け修正物件(P4.3.1-N004)をNECサポートポータルに公開済みです。
http://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103965
また、Version V4.3.1向け修正物件(P4.3.1-N004)をNECサポートポータルに公開済みです。
http://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103965
iStorage M/D/S/A/E シリーズ
影響の有無
影響あり
本製品の iSM クライアント (Web GUI) を使用している場合、本脆弱性の影響があります。
iSM サーバと iSM クライアント間の通信情報の盗聴や改ざんが行われる可能性があります。
本製品の iSM クライアント (Web GUI) を使用している場合、本脆弱性の影響があります。
iSM サーバと iSM クライアント間の通信情報の盗聴や改ざんが行われる可能性があります。
対象となる製品のバージョン
- iStorage M シリーズ (NAS オプション含む)
- iStorage D シリーズ
- iStorage S シリーズ
- iStorage E シリーズ
- iStorage A シリーズ
対処方法
[対策]
iSM クライアント (Web GUI) を利用する PC に、Microsoft のセキュリティパッチを適用してください。
https://support.microsoft.com/ja-jp/kb/3046049#/ja-jp/kb/3046049
【iStorage M/D/S/A/Eシリーズ】 SSL/TLS実装の脆弱性(CVE-2015-1637 通称:FREAK)の影響について
https://www.support.nec.co.jp/View.aspx?id=3150109689
https://support.microsoft.com/ja-jp/kb/3046049#/ja-jp/kb/3046049
【iStorage M/D/S/A/Eシリーズ】 SSL/TLS実装の脆弱性(CVE-2015-1637 通称:FREAK)の影響について
https://www.support.nec.co.jp/View.aspx?id=3150109689
iStorage Neシリーズ
影響の有無
影響あり
iStorage NeはSSL/TLSのサーバ側として輸出グレード(512ビット以下)のRSA鍵が有効になっているため、WebGUI機能を使用している場合に本脆弱性の影響を受けます。
中間者攻撃により、通信開始時のネゴシエーションにおいて弱い鍵を使うように誘導され、暗号化されたWebGUIでの設定内容などが解読される可能性があります。
iStorage NeはSSL/TLSのサーバ側として輸出グレード(512ビット以下)のRSA鍵が有効になっているため、WebGUI機能を使用している場合に本脆弱性の影響を受けます。
中間者攻撃により、通信開始時のネゴシエーションにおいて弱い鍵を使うように誘導され、暗号化されたWebGUIでの設定内容などが解読される可能性があります。
対象となる製品のバージョン
Ver.002.05.00以降のバージョン
対処方法
[回避策]
WebブラウザによるGUIアクセスを行うクライアントに、Microsoftのセキュリティパッチを適用してください。
[MS15-031] SChannel の脆弱性により、セキュリティ機能のバイパスが起こる (2015 年 3 月 10 日)
https://support.microsoft.com/ja-jp/kb/3046049#/ja-jp/kb/3046049
[MS15-031] SChannel の脆弱性により、セキュリティ機能のバイパスが起こる (2015 年 3 月 10 日)
https://support.microsoft.com/ja-jp/kb/3046049#/ja-jp/kb/3046049
iStorage NV シリーズ
影響の有無
影響あり
対象となる製品のバージョン
- NV7500/ NV5500/ NV3500シリーズ
- NV7400/ NV5400/ NV3400シリーズ
対処方法
[対策]
以下のURLでパッチを公開しています。
http://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104104
パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。
http://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104104
パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。
SecureWare/PKIアプリケーション開発キット
影響の有無
影響あり
対象となる製品のバージョン
- SecureWare/PKIアプリケーション開発キット Ver3.0、3.01、3.02、3.1
対処方法
[対策]
SecureWare/PKIアプリケーション開発キット Ver3.2 以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
UNIVERGE 3C
影響の有無
影響あり
対象となる製品のバージョン
- UCM: V8.5.4以前
- CMM: 全バージョン
対処方法
[対策]
- UCM
V8.6.1以降にバージョンアップすることで対処できます。
詳細につきましては弊社営業にお問合せください。
詳細につきましては弊社営業にお問合せください。
- CMM
Ubuntu をアップグレードすることで対処できます。
詳細につきましては弊社営業にお問合せください。
詳細につきましては弊社営業にお問合せください。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
- WebOTX Web Edition V4.1~V6.5
- WebOTX Standard-J Edition V4.1~V6.5
- WebOTX Standard Edition V4.2~V6.5
- WebOTX Enterprise Edition V4.2~V6.5
- WebOTX Application Server Web Edition V7.1~V8.1
- WebOTX Application Server Standard-J Edition V7.1~V8.1
- WebOTX Application Server Standard Edition V7.1
- WebOTX Application Server Enterprise Edition V7.1
- WebOTX Application Server Express V8.2~V9.2
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V9.2
- WebOTX Application Server Enterprise V8.2~V9.2
- WebOTX Enterprise Service Bus V6.4~V9.2
- WebOTX SIP Application Server Standard Edition V7.1~V8.1
- WebOTX Portal V8.2~V9.1
- WebOTX UDDI Registry V1.1~V7.1
対処方法
[対策]
修正されたバージョンのOpenSSLを取り込んだパッチモジュールを適用してください。
Webサーバ 2.4用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103925
Webサーバ 2.2(WebOTX V8.4/V9.1/V9.2/V9.3)用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102290
Webサーバ 2.2(WebOTX V8.2/V8.3)用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102287
Webサーバ 2.0用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010100937
Webサーバ 2.4用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103925
Webサーバ 2.2(WebOTX V8.4/V9.1/V9.2/V9.3)用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102290
Webサーバ 2.2(WebOTX V8.2/V8.3)用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010102287
Webサーバ 2.0用パッチモジュール
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010100937
WebSAM Application Navigator
影響の有無
影響あり
対象となる製品のバージョン
Ver3.1.0.x - Ver4.1.0.x
Application Navigator Probe Optionで、FTP/DNS/MAIL/TCPを監視している場合に影響があります。
※ WebSAM Application Navigator の View で、メニューバーの「ヘルプ(H)」-「バージョン情報(A)...」を選択し、表示されるバージョン情報を確認してください。
Application Navigator Probe Optionで、FTP/DNS/MAIL/TCPを監視している場合に影響があります。
※ WebSAM Application Navigator の View で、メニューバーの「ヘルプ(H)」-「バージョン情報(A)...」を選択し、表示されるバージョン情報を確認してください。
対処方法
- WebSAM Application Navigator Manager Ver4.1.1.1
- WebSAM Application Navigator View Ver4.1.1.1
- WebSAM Application Navigator Probe Agent Ver4.1.1.1
[対策]
「UW03A4-HT0A00 WebSAM Media 2015/10月版」を入手し、以下のバージョンにアップデートしてください。
ご不明な点があれば弊社営業にお問い合わせください。
ご不明な点があれば弊社営業にお問い合わせください。
WebSAM JobCenter
影響の有無
影響あり
対象となる製品のバージョン
- JobCenter CL/Web R13.1
- JobCenter CL/Web R13.2
下記のJVMを利用中の場合に脆弱性の影響を受けます。
- Oracle Java SE Runtime Environment 5.0 Update 81 以下
- Oracle Java SE Runtime Environment 6 Update 91 以下
- Oracle Java SE Development Kit 5.0 Update 81 以下
- Oracle Java SE Development Kit 6 Update 91 以下
対処方法
[対策]
本脆弱性を修正したJava for Business のパッチを適用するか、最新の Java 7 または Java 8 へ移行してください。
参考情報
Japan Vulnerability Notes JVNVU#99125992:
SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)
https://jvn.jp/vu/JVNVU99125992/
CERT/CC Vulnerability Note VU#243585:
SSL/TLS implementations accept export-grade RSA keys (FREAK attack)
http://www.kb.cert.org/vuls/id/243585
CVE-2015-0204:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
更新情報
- 2017/03/08
- WebSAM JobCenter を登録しました。
- 2016/09/14
- UNIVERGE 3C を登録しました。
- 2016/07/08
- SecureWare/PKIアプリケーション開発キットを登録しました。
- 2016/06/20
- Express5800/SG を登録しました。
- 2016/03/02
- iStorage NV シリーズを登録しました。
- 2016/01/20
- EnterpriseIdentityManager、iStorage M/D/S/A/E シリーズを登録しました。
- 2015/12/16
- CSVIEW、iStorage HSシリーズを登録しました。
- 2015/12/04
- iStorageNeシリーズ、WebSAM Application Navigatorを登録しました。
- 2015/11/25
- WebSAM Application Navigatorを登録しました。
- 2015/11/20
- EnterpriseDirectoryServer/RDB連携システムを登録しました。
- 2015/10/30
- WebOTXを登録しました。
- 2015/10/21
- CapsSuite、InfoCage セキュリティリスク管理、IP38Xシリーズを登録しました。
