Japan
サイト内の現在位置を表示しています。
VPN対応高速アクセスルータ UNIVERGE IXシリーズ
IX2000/IX3000シリーズ 「SSLv3プロトコルに暗号化データを解読される脆弱性(POODLE攻撃)」に関する御報告
はじめに
2014年10月16日にJPCERT/CCより、
「SSLv3プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)」
というレポートが発表されました。
JPCERT/CC
Japan Vulnerability Notes JVNVU#98283300
https://jvn.jp/vu/JVNVU98283300/index.html
US-CERT
Alert (TA14-290A)
https://us-cert.gov/ncas/alerts/TA14-290A
CERT/CC
Vulnerability Note VU#577193
https://www.kb.cert.org/vuls/id/577193
「SSLv3プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)」の予測される影響
以下2つの条件に合致する場合、この脆弱性問題の影響を受けます。
- 現在使用しているソフトウェアのバージョンがver.8.2.19からver.9.0.14の範囲に該当。
- 以下のいずれかの機能を利用している。
- ファームウェアアップデート機能でHTTPSを利用している。
- ダイナミックDNS機能でHTTPSを利用している。
- 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
- 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
- IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。
製品カテゴリ
対象装置: | IX2005,IX2105,IX2010,IX2015,IX2025,IX2207,IX2215,IX3010,IX3110 (ゼロコンフィグモデルを含む) |
---|---|
対象ソフトウェア: | ver.8.2.19からver.9.0.14までの全バージョン |
機種名 |
バージョン |
影響 |
---|---|---|
IX2010, IX2015 |
ver.8.1.15以前 |
影響を受けません。 |
ver.8.2.19~ver.8.3.49 |
ファームウェアアップデート機能で影響を受けます。 | |
IX2005 |
ver.8.1.15以前 |
影響を受けません。 |
ver.8.2.19~ver.8.9.21 |
ファームウェアアップデート機能で影響を受けます。 | |
ver.8.8.22~ver.8.9.21 |
ダイナミックDNS機能で影響を受けます。 | |
ver.8.7.22~ver.8.9.21 | IKEv2で利用するCA証明書の装置登録で影響を受けます。 | |
ver.8.9.21A~ | 影響を受けません(※1)。 | |
IX2025 |
ver.8.3.8~ver.9.0.14 |
ファームウェアアップデート機能で影響を受けます。 |
ver.8.8.22~ver.9.0.14 |
ダイナミックDNS機能で影響を受けます。 | |
ver.8.7.22~ver.9.0.14 | IKEv2で利用するCA証明書の装置登録で影響を受けます。 | |
ver.9.0.14A~ | 影響を受けません(※1)。 | |
IX2105 |
ver.8.5.21~ver.9.0.14 |
ファームウェアアップデート機能で影響を受けます。 |
ver.8.8.22~ver.9.0.14 |
ダイナミックDNS機能で影響を受けます。 | |
ver.8.7.22~ver.9.0.14 | IKEv2で利用するCA証明書の装置登録で影響を受けます。 | |
ver.9.0.14A~ | 影響を受けません(※1)。 | |
IX2207 |
ver.9.0.14 |
ファームウェアアップデート機能で影響を受けます。 IKEv2で利用するCA証明書の装置登録で影響を受けます。 |
ver.9.0.14A~ | 影響を受けません(※1)。 | |
IX2215 |
ver.8.8.22~ver.9.0.14 |
ファームウェアアップデート機能で影響を受けます。 IKEv2で利用するCA証明書の装置登録で影響を受けます。 |
ver.9.0.14A~ | 影響を受けません(※1)。 | |
IX3010, IX3110 |
ver.8.1.15以前 |
影響を受けません。 |
ver.8.2.19~ver.9.0.14 |
ファームウェアアップデート機能で影響を受けます。 | |
ver.8.8.22~ver.9.0.14 |
ダイナミックDNS機能で影響を受けます。 | |
ver.8.7.22~ver.9.0.14 |
IKEv2で利用するCA証明書の装置登録で影響を受けます。 | |
ver.9.0.14A~ | 影響を受けません(※1)。 |
- ※1ver.9.0.14Aにバージョンアップすると(IX2005はver.8.9.21A以降)、HTTPSのプロトコルとしてTLSv1が使用可能になり、デフォルトの動作もSSLv3からTLSv1に自動的に変更されます。
バージョンアップ後、ユーザ設定によりSSLv3に戻すことも可能ですが、その場合、本脆弱性の影響を受けますのでご注意ください。
詳しくは、ver.9.0.14Aもしくはver.8.9.21Aのリリースノートをご参照ください。
- ダイナミックDNS機能
中間者攻撃を行う第三者によって、暗号化された通信内容の一部を解読される可能性があります。ダイナミックDNSの更新情報、アカウント、パスワードなどが解読される可能性があります。
- ファームウェアアップデート機能、装置起動時の自動ファームウェアアップデート機能
中間者攻撃を行う第三者によって、暗号化された通信内容の一部を解読される可能性があります。ダウンロード中のファームウェアデータが解読される可能性があります。
- 装置起動時の自動コンフィグダウンロード機能
中間者攻撃を行う第三者によって、暗号化された通信内容の一部を解読される可能性があります。ダウンロード中のコンフィグが解読される可能性があります。
- CA証明書のインポート機能
中間者攻撃を行う第三者によって、暗号化された通信内容の一部を解読される可能性があります。ダウンロード中のCA証明書が解読される可能性があります。
- (参考)ゼロコンフィグ機能
ゼロコンフィグ機能は、SSLv3を使用していないため本脆弱性の対象外となります。
対策
修正ソフトウェアへのバージョンアップ
- IX2010, IX2015
リリース対象外です。
回避策を実施してください。
- IX2005
ver.8.9.21A以降のソフトウェアにバージョンアップを行うことにより、本脆弱性の影響を受けなくなります。
- IX2105, IX2025, IX2207,IX2215, IX3010, IX3110
ver.9.0.14A以降のソフトウェアにバージョンアップを行うことにより、本脆弱性の影響を受けなくなります。
回避策
ダイナミックDNS機能
ファームウェアアップデート機能
装置起動時の自動ファームウェアアップデート機能
装置起動時の自動コンフィグダウンロード機能
CA証明書のインポート機能
- HTTPSを使用しない。
- ※サーバ接続にHTTPSを使用しないことにより、本脆弱性の回避は可能ですが、HTTPは通信が暗号化されないため、HTTPSのままでご利用いただく方がデータを解読されるリスクは低くなります。
注意事項
サーバの脆弱性対応にて、SSLv3を無効にした場合、IXルータからのHTTPSによる、
- ダイナミックDNS
- ファームウェアアップデート
- 装置起動時の自動ファームウェアアップデート機能
- 装置起動時の自動コンフィグダウンロード機能
- CA証明書のインポート機能
改版履歴
- 2014年10月20日
-
初版発行NEW
- 2014年10月28日
- 2014年12月02日
資料請求・お問い合わせ