Japan

関連リンク

関連リンク

関連リンク

関連リンク

サイト内の現在位置を表示しています。

VPN対応高速アクセスルータ UNIVERGE IXシリーズ

IX2000/IX3000シリーズ 「SSL/TLS の実装が輸出グレードのRSA鍵を受け入れる問題(FREAK攻撃)」に関する御報告

はじめに

2015年3月9日にJPCERT/CCより、

「SSL/TLS の実装が輸出グレードのRSA鍵を受け入れる問題(FREAK攻撃)」

というレポートが発表されました。

 

JPCERT/CC

Japan Vulnerability Notes JVNVU#99125992

https://jvn.jp/vu/JVNVU99125992/


CERT/CC

Vulnerability Note VU#243585

https://www.kb.cert.org/vuls/id/243585

「SSL/TLS の実装が輸出グレードのRSA鍵を受け入れる問題(FREAK攻撃)」の予測される影響

以下2つの条件に合致する場合、この脆弱性問題の影響を受けます。

  1. 現在使用しているソフトウェアのバージョンがver.8.2.19からver.9.0.54の範囲に該当。
  2. 以下のいずれかの機能を利用している。
    • ゼロコンフィグ機能(※)を使用している。
      ※ゼロコンフィグモデルのみ対象となります。
    • ファームウェアアップデート機能でHTTPSを利用している。
    • ダイナミックDNS機能でHTTPSを利用している。
    • 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
    • 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
    • IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。

製品カテゴリ

対象装置: IX2005,IX2105,IX2010,IX2015,IX2025,IX2207,IX2215,IX3010,IX3110
(ゼロコンフィグモデルを含む)
対象ソフトウェア: ver.8.2.19からver.9.0.54までの全バージョン
機種名

バージョン

影響

IX2010, IX2015

ver.8.1.15以前

影響を受けません。

ver.8.2.19~ver.8.3.49

ファームウェアアップデート機能で影響を受けます。
IX2005

ver.8.1.15以前

影響を受けません。

ver.8.2.19~ver.8.9.21A

ゼロコンフィグ機能で影響を受けます。
ファームウェアアップデート機能で影響を受けます。

ver.8.8.22~ver.8.9.21A

ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。

ver.8.7.22~ver.8.9.21A IKEv2で利用するCA証明書の装置登録で影響を受けます。
ver.8.9.23~ 影響を受けません。
IX2025

ver.8.3.8~ver.9.0.54

ゼロコンフィグ機能で影響を受けます。
ファームウェアアップデート機能で影響を受けます。

ver.8.8.22~ver.9.0.54

ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。

ver.8.7.22~ver.9.0.54 IKEv2で利用するCA証明書の装置登録で影響を受けます。
ver.9.1.10~ 影響を受けません。
IX2105

ver.8.5.21~ver.9.0.54

ゼロコンフィグ機能で影響を受けます。
ファームウェアアップデート機能で影響を受けます。

ver.8.8.22~ver.9.0.54

ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。

ver.8.7.22~ver.9.0.54 IKEv2で利用するCA証明書の装置登録で影響を受けます。
ver.9.1.10~ 影響を受けません。
IX2207

ver.9.0.14~ver.9.0.54

ファームウェアアップデート機能で影響を受けます。
ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。

IKEv2で利用するCA証明書の装置登録で影響を受けます。

ver.9.1.10~ 影響を受けません。
IX2215

ver.8.8.22~ver.9.0.54

ゼロコンフィグ機能で影響を受けます。
ファームウェアアップデート機能で影響を受けます。
ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。

IKEv2で利用するCA証明書の装置登録で影響を受けます。

ver.9.1.10~ 影響を受けません。
IX3010, IX3110

ver.8.1.15以前

影響を受けません。

ver.8.2.19~ver.9.0.54

ゼロコンフィグ機能で影響を受けます(IX3110)。
ファームウェアアップデート機能で影響を受けます。

ver.8.8.22~ver.9.0.54

ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。

ver.8.7.22~ver.9.0.54

IKEv2で利用するCA証明書の装置登録で影響を受けます。

ver.9.1.10~ 影響を受けません。

  • ゼロコンフィグ機能
    中間者攻撃を行う第三者によって、暗号化された通信内容の一部を解読される可能性があります。IXルータとARMSプロキシサーバの間の暗号化通信が解読される可能性があります。

  • ダイナミックDNS機能
    中間者攻撃を行う第三者によって、暗号化された通信内容の一部を解読される可能性があります。ダイナミックDNSの更新情報、アカウント、パスワードなどが解読される可能性があります。

  • ファームウェアアップデート機能、装置起動時の自動ファームウェアアップデート機能
    中間者攻撃を行う第三者によって、暗号化された通信内容の一部を解読される可能性があります。ダウンロード中のファームウェアデータが解読される可能性があります。

  • 装置起動時の自動コンフィグダウンロード機能
    中間者攻撃を行う第三者によって、暗号化された通信内容の一部を解読される可能性があります。ダウンロード中のコンフィグが解読される可能性があります。

  • CA証明書のインポート機能
    中間者攻撃を行う第三者によって、暗号化された通信内容の一部を解読される可能性があります。ダウンロード中のCA証明書が解読される可能性があります。

対策

修正ソフトウェアへのバージョンアップ

  • IX2010, IX2015
    リリース対象外です。
    回避策を実施してください。

  • IX2005
    ver.8.9.23以降のソフトウェアにバージョンアップを行うことにより、本脆弱性の影響を受けなくなります。

  • IX2105, IX2025, IX2207,IX2215, IX3010, IX3110
    ver.9.1.10以降のソフトウェアにバージョンアップを行うことにより、本脆弱性の影響を受けなくなります。

回避策

ダイナミックDNS機能

  • ARMSプロキシサーバの本脆弱性を排除する。
    輸出グレードのRSA鍵を、サーバ/クライアント機能双方で使用不能にすることで、脆弱性を排除できます。

 

ダイナミックDNS機能
ファームウェアアップデート機能
装置起動時の自動ファームウェアアップデート機能
装置起動時の自動コンフィグダウンロード機能
CA証明書のインポート機能
  • 接続先サーバの本脆弱性を排除する。
    輸出グレードのRSA鍵を、サーバ機能で使用不能にすることで、脆弱性を排除できます。

  • サーバ接続にHTTPSを使用しないことにより、本脆弱性の回避は可能ですが、HTTPは通信が暗号化されないため、HTTPSのままでご利用いただく方がデータを解読されるリスクは低くなります。

改版履歴

2015年3月30日

資料請求・お問い合わせ

Escキーで閉じる 閉じる