Japan

関連リンク

関連リンク

関連リンク

関連リンク

サイト内の現在位置を表示しています。

UNIVERGE IXシリーズ 技術情報

IX2000/IX3000シリーズ 「OpenSSLに複数の脆弱性(JVNVU#98667810)」に関する御報告

はじめに

2016年9月23日に、JPCERT/CC より、

「OpenSSLに複数の脆弱性」

というレポートが発表されました。

JPCERT/CC
Japan Vulnerability Notes JVNVU#98667810
https://jvn.jp/vu/JVNVU98667810/

製品カテゴリ

対象装置: IX2005, IX2105, IX2025, IX2207, IX2215, IX3010, IX3015, IX3110, IX3315
(ゼロコンフィグモデルを含む)
対象ソフトウェア: ソフトウェアバージョンver.9.4.15以前の全バージョン
  • OpenSSLバージョンが0.9.8ze以下のバージョンは今回報告の脆弱性を含む、過去の脆弱性の影響を受ける可能性があります。
本装置(IXシリーズ)の
バージョン
OpenSSLのバージョン 脆弱性への影響
ver.9.4.17
ver.9.3.14
ver.9.1.16 (IX3010のみ)
1.0.2j 影響を受けません
ver.9.4.15
ver.9.3.12
ver.9.1.15 (IX3010のみ)
1.0.2h 影響を受けます
ver.9.3.11
ver.9.2.25
1.0.1s 影響を受けます
ver.9.2.24
ver.9.2.20
ver.9.1.13
ver.9.1.11
ver.8.9.25 (IX2005のみ)
1.0.1p 影響を受けます
ver.9.1.10
ver.9.0.54
ver.9.0.14A
ver.9.0.14
ver.8.11.11
ver.8.10.11B
ver.8.10.11
ver.8.9.23
ver.8.9.21A
ver.8.9.21
ver.8.9.19
ver.8.9.17B
ver.8.9.17
ver.8.8以前のすべて
0.9.8ze以下 Open SSL EOLバージョンのため脆弱性は確認できません。

今回報告の脆弱性を含む、過去の脆弱性の影響を受ける可能性があります。

「OpenSSLに複数の脆弱性」の想定される影響と対策および回避策

  1. OCSP Status Request にサービス運用妨害 (DoS) - CVE-2016-6304 (重要度:高)

    [想定される影響]

    本脆弱性に起因するDoS攻撃により、メモリ枯渇を引き起こす可能性があります。

    [影響を受ける条件]

    以下 2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。

    1. 現在使用しているソフトウェアが ver.9.4.15以前のバージョン
    2. ゼロコンフィグ機能(※)を使用している。
      ゼロコンフィグモデルのみ対象となります。

    [対策]

    修正ソフトウェア、または、保守用ソフトウェアへのバージョンアップ

    [回避策]

    IXルータの外部接続ポートでNAT/NAPTを利用している場合、もしくは、他ルータ/キャリア網などでIXルータをNAT/NAPT越しで利用している場合は、回避策は不要です。(脆弱ではありません)
    上記以外の場合、適切なフィルタ設定により、任意の攻撃者のパケットを遮断することで回避が可能です。

    1. サービス事業者に『SMFv2のPUSHポート』を確認します。
    2. IXルータ自身を宛先とした 1. のポートを全遮断するフィルタを設定します。
      ※RSサーバアドレスとの通信のみは自動的にフィルタが解除されるため、全アドレスに対して廃棄設定することで脆弱性の回避が可能です。
  2. SSL_peek() 関数の呼出し処理にサービス運用妨害 (DoS) - CVE-2016-6305 (重要度:中)

    影響を受けません。

  3. ブロック長が 64bit のブロック暗号に対する誕生日攻撃 (Sweet32) への緩和策 - CVE-2016-2183 (重要度:低)

    影響を受けません。

  4. MDC2_Update() 関数の呼出し処理にヒープベースのバッファオーバーフロー - CVE-2016-6303 (重要度:低)

    影響を受けません。

  5. SHA512 を使用した不正な形式の TLS セッションチケットによるサービス運用妨害 (DoS) - CVE-2016-6302 (重要度:低)

    影響を受けません。

  6. BN_bn2dec() 関数に領域外書込み - CVE-2016-2182 (重要度:低)

    影響を受けません。

  7. TS_OBJ_print_bio() 関数に領域外読込み - CVE-2016-2180 (重要度:低)

    影響を受けません。

  8. ポインタ演算処理の未定義動作 - CVE-2016-2177 (重要度:低)

    [想定される影響]

    本脆弱性に起因するDoS攻撃を受ける可能性がありますが、現状での影響度は不明です。

    [影響を受ける条件]

    以下 2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。

    1. 現在使用しているソフトウェアが ver.9.4.15以前のバージョン
    2. 以下のいずれかの機能を利用している。
      • ゼロコンフィグ機能(※)を使用している。
        ※ゼロコンフィグモデルのみ対象となります。
      • ファームウェアアップデート機能でHTTPSを利用している。
      • ダイナミックDNS機能でHTTPSを利用している。
      • 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
      • 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
      • IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。

    [対策]

    修正ソフトウェア、または、保守用ソフトウェアへのバージョンアップ

    [回避策]

    • ゼロコンフィグ機能

      IXルータの外部接続ポートでNAT/NAPTを利用している場合、もしくは、他ルータ/キャリア網などでIXルータをNAT/NAPT越しで利用している場合は、回避策は不要です。(脆弱ではありません)
      上記以外の場合、適切なフィルタ設定により、任意の攻撃者のパケットを遮断することで回避が可能です。

      1. サービス事業者に『SMFv2のPUSHポート』を確認します。
      2. IXルータ自身を宛先とした 1. のポートを全遮断するフィルタを設定します。
        ※RSサーバアドレスとの通信のみは自動的にフィルタが解除されるため、全アドレスに対して廃棄設定することで脆弱性の回避が可能です。
    • その他の機能

      信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。

  9. DSA 署名アルゴリズムに対するサイドチャネル攻撃 - CVE-2016-2178 (重要度:低)

    [想定される影響]

    キャッシュタイミング攻撃により攻撃者にDSA 秘密鍵を取得される可能性があります。

    [影響を受ける条件]

    以下2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。

    1. 現在使用しているソフトウェアが ver.9.4.15以前のバージョン
    2. 以下のいずれかの機能を利用している。
      • ゼロコンフィグ機能(※)を使用している。
        ※ゼロコンフィグモデルのみ対象となります。
      • ファームウェアアップデート機能でHTTPSを利用している。
      • ダイナミックDNS機能でHTTPSを利用している。
      • 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
      • 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
      • IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。

    [対策]

    修正ソフトウェア、または、保守用ソフトウェアへのバージョンアップ

    [回避策]

    • ゼロコンフィグ機能

      IXルータの外部接続ポートでNAT/NAPTを利用している場合、もしくは、他ルータ/キャリア網などでIXルータをNAT/NAPT越しで利用している場合は、回避策は不要です。(脆弱ではありません)
      上記以外の場合、適切なフィルタ設定により、任意の攻撃者のパケットを遮断することで回避が可能です。

      1. サービス事業者に『SMFv2のPUSHポート』を確認します。
      2. IXルータ自身を宛先とした 1. のポートを全遮断するフィルタを設定します。
        ※RSサーバアドレスとの通信のみは自動的にフィルタが解除されるため、全アドレスに対して廃棄設定することで脆弱性の回避が可能です。
    • その他の機能

      信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。

  10. DTLS のハンドシェイク処理にサービス運用妨害 (DoS) - CVE-2016-2179 (重要度:低)

    影響を受けません。

  11. DTLS のリプレイ攻撃防止機能にサービス運用妨害 (DoS) - CVE-2016-2181 (重要度:低)

    影響を受けません。

  12. 証明書の読込み処理およびリクエスト処理に領域外読込み - CVE-2016-6306 (重要度:低)

    [想定される影響]

    本脆弱性に起因するDoS攻撃を受ける可能性がありますが、現状での影響度は不明です。

    [影響を受ける条件]

    以下2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。

    1. 現在使用しているソフトウェアが ver.9.4.15以前のバージョン
    2. 以下のいずれかの機能を利用している。
      • ゼロコンフィグ機能(※)を使用している。
        ※ゼロコンフィグモデルのみ対象となります。
      • ファームウェアアップデート機能でHTTPSを利用している。
      • ダイナミックDNS機能でHTTPSを利用している。
      • 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
      • 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
      • IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。

    [対策]

    修正ソフトウェア、または、保守用ソフトウェアへのバージョンアップ

    [回避策]

    • ゼロコンフィグ機能

      IXルータの外部接続ポートでNAT/NAPTを利用している場合、もしくは、他ルータ/キャリア網などでIXルータをNAT/NAPT越しで利用している場合は、回避策は不要です。(脆弱ではありません)
      上記以外の場合、適切なフィルタ設定により、任意の攻撃者のパケットを遮断することで回避が可能です。

      1. サービス事業者に『SMFv2のPUSHポート』を確認します。
      2. IXルータ自身を宛先とした 1. のポートを全遮断するフィルタを設定します。
        ※RSサーバアドレスとの通信のみは自動的にフィルタが解除されるため、全アドレスに対して廃棄設定することで脆弱性の回避が可能です。
    • その他の機能

      信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。

  13. TLS メッセージのメモリ割当て処理にサービス運用妨害 (DoS) - CVE-2016-6307 (重要度:低)

    影響を受けません。

  14. DTLS メッセージのメモリ割当て処理にサービス運用妨害 (DoS) - CVE-2016-6308 (重要度:低)

    影響を受けません。

改版履歴

2016年10月6日
初版発行
2016年12月26日
2版発行(修正ソフトウェアの情報追記)

資料請求・お問い合わせ

Escキーで閉じる 閉じる