Japan
サイト内の現在位置を表示しています。
UNIVERGE IXシリーズ 技術情報
IX2000/IX3000シリーズ 「OpenSSLに複数の脆弱性(JVNVU#98667810)」に関する御報告
はじめに
2016年9月23日に、JPCERT/CC より、
「OpenSSLに複数の脆弱性」
というレポートが発表されました。
JPCERT/CC
Japan Vulnerability Notes JVNVU#98667810
https://jvn.jp/vu/JVNVU98667810/
製品カテゴリ
対象装置: | IX2005, IX2105, IX2025, IX2207, IX2215, IX3010, IX3015, IX3110, IX3315 (ゼロコンフィグモデルを含む) |
---|---|
対象ソフトウェア: | ソフトウェアバージョンver.9.4.15以前の全バージョン |
- ※OpenSSLバージョンが0.9.8ze以下のバージョンは今回報告の脆弱性を含む、過去の脆弱性の影響を受ける可能性があります。
本装置(IXシリーズ)の バージョン |
OpenSSLのバージョン | 脆弱性への影響 |
---|---|---|
ver.9.4.17 ver.9.3.14 ver.9.1.16 (IX3010のみ) |
1.0.2j | 影響を受けません |
ver.9.4.15 ver.9.3.12 ver.9.1.15 (IX3010のみ) |
1.0.2h | 影響を受けます |
ver.9.3.11 ver.9.2.25 |
1.0.1s | 影響を受けます |
ver.9.2.24 ver.9.2.20 ver.9.1.13 ver.9.1.11 ver.8.9.25 (IX2005のみ) |
1.0.1p | 影響を受けます |
ver.9.1.10 ver.9.0.54 ver.9.0.14A ver.9.0.14 ver.8.11.11 ver.8.10.11B ver.8.10.11 ver.8.9.23 ver.8.9.21A ver.8.9.21 ver.8.9.19 ver.8.9.17B ver.8.9.17 ver.8.8以前のすべて |
0.9.8ze以下 | Open SSL EOLバージョンのため脆弱性は確認できません。 今回報告の脆弱性を含む、過去の脆弱性の影響を受ける可能性があります。 |
「OpenSSLに複数の脆弱性」の想定される影響と対策および回避策
-
OCSP Status Request にサービス運用妨害 (DoS) - CVE-2016-6304 (重要度:高)
[想定される影響]
本脆弱性に起因するDoS攻撃により、メモリ枯渇を引き起こす可能性があります。
[影響を受ける条件]
以下 2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。
- 現在使用しているソフトウェアが ver.9.4.15以前のバージョン
- ゼロコンフィグ機能(※)を使用している。
ゼロコンフィグモデルのみ対象となります。
[対策]
修正ソフトウェア、または、保守用ソフトウェアへのバージョンアップ
[回避策]
IXルータの外部接続ポートでNAT/NAPTを利用している場合、もしくは、他ルータ/キャリア網などでIXルータをNAT/NAPT越しで利用している場合は、回避策は不要です。(脆弱ではありません)
上記以外の場合、適切なフィルタ設定により、任意の攻撃者のパケットを遮断することで回避が可能です。- サービス事業者に『SMFv2のPUSHポート』を確認します。
- IXルータ自身を宛先とした 1. のポートを全遮断するフィルタを設定します。
※RSサーバアドレスとの通信のみは自動的にフィルタが解除されるため、全アドレスに対して廃棄設定することで脆弱性の回避が可能です。
-
SSL_peek() 関数の呼出し処理にサービス運用妨害 (DoS) - CVE-2016-6305 (重要度:中)
影響を受けません。
-
ブロック長が 64bit のブロック暗号に対する誕生日攻撃 (Sweet32) への緩和策 - CVE-2016-2183 (重要度:低)
影響を受けません。
-
MDC2_Update() 関数の呼出し処理にヒープベースのバッファオーバーフロー - CVE-2016-6303 (重要度:低)
影響を受けません。
-
SHA512 を使用した不正な形式の TLS セッションチケットによるサービス運用妨害 (DoS) - CVE-2016-6302 (重要度:低)
影響を受けません。
-
BN_bn2dec() 関数に領域外書込み - CVE-2016-2182 (重要度:低)
影響を受けません。
-
TS_OBJ_print_bio() 関数に領域外読込み - CVE-2016-2180 (重要度:低)
影響を受けません。
-
ポインタ演算処理の未定義動作 - CVE-2016-2177 (重要度:低)
[想定される影響]
本脆弱性に起因するDoS攻撃を受ける可能性がありますが、現状での影響度は不明です。
[影響を受ける条件]
以下 2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。
- 現在使用しているソフトウェアが ver.9.4.15以前のバージョン
- 以下のいずれかの機能を利用している。
- ゼロコンフィグ機能(※)を使用している。
※ゼロコンフィグモデルのみ対象となります。 - ファームウェアアップデート機能でHTTPSを利用している。
- ダイナミックDNS機能でHTTPSを利用している。
- 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
- 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
- IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。
- ゼロコンフィグ機能(※)を使用している。
[対策]
修正ソフトウェア、または、保守用ソフトウェアへのバージョンアップ
[回避策]
-
ゼロコンフィグ機能
IXルータの外部接続ポートでNAT/NAPTを利用している場合、もしくは、他ルータ/キャリア網などでIXルータをNAT/NAPT越しで利用している場合は、回避策は不要です。(脆弱ではありません)
上記以外の場合、適切なフィルタ設定により、任意の攻撃者のパケットを遮断することで回避が可能です。- サービス事業者に『SMFv2のPUSHポート』を確認します。
- IXルータ自身を宛先とした 1. のポートを全遮断するフィルタを設定します。
※RSサーバアドレスとの通信のみは自動的にフィルタが解除されるため、全アドレスに対して廃棄設定することで脆弱性の回避が可能です。
-
その他の機能
信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。
-
DSA 署名アルゴリズムに対するサイドチャネル攻撃 - CVE-2016-2178 (重要度:低)
[想定される影響]
キャッシュタイミング攻撃により攻撃者にDSA 秘密鍵を取得される可能性があります。
[影響を受ける条件]
以下2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。
- 現在使用しているソフトウェアが ver.9.4.15以前のバージョン
- 以下のいずれかの機能を利用している。
- ゼロコンフィグ機能(※)を使用している。
※ゼロコンフィグモデルのみ対象となります。 - ファームウェアアップデート機能でHTTPSを利用している。
- ダイナミックDNS機能でHTTPSを利用している。
- 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
- 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
- IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。
- ゼロコンフィグ機能(※)を使用している。
[対策]
修正ソフトウェア、または、保守用ソフトウェアへのバージョンアップ
[回避策]
-
ゼロコンフィグ機能
IXルータの外部接続ポートでNAT/NAPTを利用している場合、もしくは、他ルータ/キャリア網などでIXルータをNAT/NAPT越しで利用している場合は、回避策は不要です。(脆弱ではありません)
上記以外の場合、適切なフィルタ設定により、任意の攻撃者のパケットを遮断することで回避が可能です。- サービス事業者に『SMFv2のPUSHポート』を確認します。
- IXルータ自身を宛先とした 1. のポートを全遮断するフィルタを設定します。
※RSサーバアドレスとの通信のみは自動的にフィルタが解除されるため、全アドレスに対して廃棄設定することで脆弱性の回避が可能です。
-
その他の機能
信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。
-
DTLS のハンドシェイク処理にサービス運用妨害 (DoS) - CVE-2016-2179 (重要度:低)
影響を受けません。
-
DTLS のリプレイ攻撃防止機能にサービス運用妨害 (DoS) - CVE-2016-2181 (重要度:低)
影響を受けません。
-
証明書の読込み処理およびリクエスト処理に領域外読込み - CVE-2016-6306 (重要度:低)
[想定される影響]
本脆弱性に起因するDoS攻撃を受ける可能性がありますが、現状での影響度は不明です。
[影響を受ける条件]
以下2つの条件に合致する場合、この脆弱性問題の影響を受ける可能性があります。
- 現在使用しているソフトウェアが ver.9.4.15以前のバージョン
- 以下のいずれかの機能を利用している。
- ゼロコンフィグ機能(※)を使用している。
※ゼロコンフィグモデルのみ対象となります。 - ファームウェアアップデート機能でHTTPSを利用している。
- ダイナミックDNS機能でHTTPSを利用している。
- 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
- 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
- IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。
- ゼロコンフィグ機能(※)を使用している。
[対策]
修正ソフトウェア、または、保守用ソフトウェアへのバージョンアップ
[回避策]
-
ゼロコンフィグ機能
IXルータの外部接続ポートでNAT/NAPTを利用している場合、もしくは、他ルータ/キャリア網などでIXルータをNAT/NAPT越しで利用している場合は、回避策は不要です。(脆弱ではありません)
上記以外の場合、適切なフィルタ設定により、任意の攻撃者のパケットを遮断することで回避が可能です。- サービス事業者に『SMFv2のPUSHポート』を確認します。
- IXルータ自身を宛先とした 1. のポートを全遮断するフィルタを設定します。
※RSサーバアドレスとの通信のみは自動的にフィルタが解除されるため、全アドレスに対して廃棄設定することで脆弱性の回避が可能です。
-
その他の機能
信頼できるサーバ以外へのアクセスを行わないことで回避が可能です。
-
TLS メッセージのメモリ割当て処理にサービス運用妨害 (DoS) - CVE-2016-6307 (重要度:低)
影響を受けません。
-
DTLS メッセージのメモリ割当て処理にサービス運用妨害 (DoS) - CVE-2016-6308 (重要度:低)
影響を受けません。
改版履歴
- 2016年10月6日
-
初版発行
- 2016年12月26日
-
2版発行(修正ソフトウェアの情報追記)
資料請求・お問い合わせ