Japan
サイト内の現在位置を表示しています。
VPN対応高速アクセスルータ UNIVERGE IXシリーズ
IX2000/IX3000シリーズ OpenSSL脆弱性問題(JVN#61247051)に関する御報告
はじめに
2014年6月6日に日本国内のコンピュータ緊急事態対策チームであるJP-CERTより、
「OpenSSL における Change Cipher Spec メッセージの処理に脆弱性」
というレポートが発表されました。
JPCERT/CC
Japan Vulnerability Notes JVN#61247051
https://jvn.jp/jp/JVN61247051/index.html
US-CERT
Vulnerability Notes VU#978508
https://www.kb.cert.org/vuls/id/978508
CVE-2014-0224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
「OpenSSL における Change Cipher Spec メッセージの処理に脆弱性」の予測される影響
以下2つの条件に合致する場合、この脆弱性問題の影響を受けます。
- 現在使用しているソフトウェアのバージョンがver.8.2.19からver.8.11.11Bの範囲に該当。
- 以下のいずれかの機能を利用している。
- ゼロコンフィグ機能(※)を使用している。
※ゼロコンフィグモデルのみ対象となります。 - ファームウェアアップデート機能でHTTPSを利用している。
- ダイナミックDNS機能でHTTPSを利用している。
- 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
- 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
- IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。
- ゼロコンフィグ機能(※)を使用している。
製品カテゴリ
| 対象装置: | IX2005,IX2105,IX2010,IX2015,IX2025,IX2215,IX3010,IX3110 (ゼロコンフィグモデルを含む) |
|---|---|
| 対象ソフトウェア: | ver.8.2.19からver.8.11.11Bまでの全バージョン |
| 機種名 |
バージョン |
影響 |
|---|---|---|
| IX2010, IX2015 |
ver.8.1.15以前 |
影響を受けません。 |
|
ver.8.2.19~ver.8.3.49 |
ファームウェアアップデート機能で影響を受けます。 | |
| IX2005 |
ver.8.1.15以前 |
影響を受けません。 |
|
ver.8.2.19~ver.8.9.19 |
ゼロコンフィグ機能で影響を受けます。 ファームウェアアップデート機能で影響を受けます。 | |
|
ver.8.8.22~ver.8.9.19 |
ダイナミックDNS機能で影響を受けます。 | |
| ver.8.7.22~ver.8.9.19 |
IKEv2で利用するCA証明書の装置登録で影響を受けます。 | |
| ver.8.9.21~ | 影響を受けません。 | |
| IX2025 |
ver.8.3.8~ver.8.11.11 |
ゼロコンフィグ機能で影響を受けます。 ファームウェアアップデート機能で影響を受けます。 |
|
ver.8.8.22~ver.8.11.11 |
ダイナミックDNS機能で影響を受けます。 | |
|
ver.8.7.22~ver.8.11.11 |
IKEv2で利用するCA証明書の装置登録で影響を受けます。 | |
| ver.9.0.14~ | 影響を受けません。 | |
| IX2105 |
ver.8.5.21~ver.8.11.11A |
ゼロコンフィグ機能で影響を受けます。 ファームウェアアップデート機能で影響を受けます。 |
|
ver.8.8.22~ver.8.11.11A |
ダイナミックDNS機能で影響を受けます。 | |
|
ver.8.7.22~ver.8.11.11A |
IKEv2で利用するCA証明書の装置登録で影響を受けます。 | |
| ver.9.0.14~ | 影響を受けません。 | |
| IX2215 |
ver.8.8.22~ver.8.11.11B |
ゼロコンフィグ機能で影響を受けます。 IKEv2で利用するCA証明書の装置登録で影響を受けます。 |
| ver.9.0.14~ | 影響を受けません。 | |
| IX3010, IX3110 |
ver.8.1.15以前 |
影響を受けません。 |
|
ver.8.2.19~ver.8.11.11 |
ゼロコンフィグ機能で影響を受けます。 ファームウェアアップデート機能で影響を受けます。 | |
|
ver.8.8.22~ver.8.11.11 |
ダイナミックDNS機能で影響を受けます。 | |
|
ver.8.7.22~ver.8.11.11 |
IKEv2で利用するCA証明書の装置登録で影響を受けます。 | |
| ver.9.0.14~ | 影響を受けません。 |
- ゼロコンフィグ機能
攻撃者に暗号化鍵を推測され、中間者攻撃により暗号化データを解読される可能性があります。IXルータとARMSプロキシサーバの間の暗号化通信が解読される可能性があります。
- ダイナミックDNS機能
攻撃者に暗号化鍵を推測され、中間者攻撃により暗号化データを解読される可能性があります。 ダイナミックDNSの更新情報、アカウント、パスワードなどが解読される可能性があります。
- ファームウェアアップデート機能、装置起動時の自動ファームウェアアップデート機能
攻撃者に暗号化鍵を推測され、中間者攻撃により暗号化データを解読される可能性があります。 ダウンロード中のファームウェアデータが解読される可能性があります。
- 装置起動時の自動コンフィグダウンロード機能
攻撃者に暗号化鍵を推測され、中間者攻撃により暗号化データを解読される可能性があります。 ダウンロード中のコンフィグが解読される可能性があります。
- CA証明書のインポート機能
中間者攻撃を行う第三者によって、暗号化された通信内容の一部を解読される可能性があります。ダウンロード中のCA証明書が解読される可能性があります。
対策
修正ソフトウェアへのバージョンアップ
- IX2010, IX2015
リリース対象外です。
回避策を実施してください。
- IX2005
ver.8.9.21以降のソフトウェアにバージョンアップを行うことにより、本脆弱性の影響を受けなくなります。
- IX2105, IX2025, IX2215, IX3010, IX3110
ver.9.0.14以降のソフトウェアにバージョンアップを行うことにより、本脆弱性の影響を受けなくなります。
回避策
- ゼロコンフィグ機能
以下の対策を行うことにより、本脆弱性の影響を回避することが可能です。本装置のみの対策による本脆弱性に対する完全な回避はできません。- ARMSプロキシサーバの本脆弱性を排除する。
- ダイナミックDNS機能
以下の対策を行うことにより、本脆弱性の影響を回避することが可能です。本装置のみの対策による本脆弱性に対する完全な回避はできません。- 接続先サーバの本脆弱性を排除する。
※ダイナミックDNSサーバ接続にHTTPSを使用しないことにより、本脆弱性の回避は可能ですが、HTTPは通信が暗号化されないため、HTTPSのままでご利用いただく方がデータを解読されるリスクは低くなります。
- 接続先サーバの本脆弱性を排除する。
- ファームウェアアップデート機能
- 装置起動時の自動ファームウェアアップデート機能
- 装置起動時の自動コンフィグダウンロード機能
- CA証明書のインポート機能
- 接続先サーバの本脆弱性を排除する。
- 接続先サーバとの間をIPsecで暗号化する。
改版履歴
- 2014年6月6日
- 2014年6月13日
- 2014年10月20日
- 2014年10月28日
資料請求・お問い合わせ