Japan
サイト内の現在位置を表示しています。
脆弱性問題(JVN#61247051)について
2014年10月28日
NEC 企業ネットワーク事業部 商品基盤グループ
はじめに
2014年6月6日にJPCERT/CCより、
「OpenSSL における Change Cipher Spec メッセージの処理に脆弱性」
というレポートが発表されました。
JPCERT/CC
Japan Vulnerability Notes JVN#61247051
https://jvn.jp/jp/JVN61247051/index.html
US-CERT
Vulnerability Notes VU#978508
https://www.kb.cert.org/vuls/id/978508
CVE-2014-0224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
予測される影響
[影響を受ける条件]
以下 2つの条件に合致する場合、この脆弱性問題の影響を受けます。
1. 現在使用しているソフトウェアのバージョンがVer.4.2.3からVer.5.1.3の範囲に該当。
2. 以下の機能を利用している。
・Web-GUI
製品カテゴリ
[WA1020]
Ver.4.2.3以降 Web-GUI機能で影響を受けます。
Ver.4.1.6以前 影響を受けません。
[WA2020, WA2021]
Ver.4.2.3以降 Web-GUI機能で影響を受けます。
Ver.4.1.4以前 影響を受けません。
[WA1510, WA1511]
Ver.5.0.4以降 Web-GUI機能で影響を受けます。
● Web-GUI機能
攻撃者に暗号化鍵を推測され、
中間者攻撃により暗号化データを解読される可能性があります。
アカウント、パスワードなどが解読される可能性があります。
対策
修正ソフトウェアへのバージョンアップ
[WA1020, WA1510, WA1511, WA2020, WA2021]
Ver5.1.8以降へのバージョンアップ
回避策
● Web-GUI
以下の対策を行うことにより、本脆弱性の影響を回避することが可能です。
・ サポートブラウザである Internet Explorer を利用する
・ Web-GUI機能を利用せず、CLIでコンフィグレーションを実施する。
更新履歴
2014年 6月10日 初版発行
2014年 7月23日 2版発行(対策を記載)
2014年10月28日 3版発行
(自動更新機能は、本脆弱性の影響を受けないため記載を削除)
資料請求・お問い合わせ