Japan
サイト内の現在位置を表示しています。
脆弱性問題(JVNVU#98283300)について
2015年1月13日
NEC 企業ネットワーク事業部 商品基盤グループ
はじめに
2014年10月16日にJPCERT/CCより、
「SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)」
というレポートが発表されました。
JPCERT/CC
Japan Vulnerability Notes JVNVU#98283300
https://jvn.jp/vu/JVNVU98283300/index.html
US-CERT
Alert (TA14-290A)
https://us-cert.cisa.gov/ncas/alerts/TA14-290A
CERT/CC
Vulnerability Notes VU#577193
https://www.kb.cert.org/vuls/id/577193
CVE-2014-3566
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
予測される影響
[影響を受ける条件]
以下 2つの条件に合致する場合、この脆弱性問題の影響を受けます。
1. 現在使用しているソフトウェアのバージョンがVer.4.2.3からVer.6.0.5の範囲に該当。
2. 以下の機能を利用している。
・Web-GUI
製品カテゴリ
[WA1020]
Ver.4.2.3以降 Web-GUI機能で影響を受けます。
Ver.4.1.6以前 影響を受けません。
[WA2020, WA2021]
Ver.4.2.3以降 Web-GUI機能で影響を受けます。
Ver.4.1.4以前 影響を受けません。
[WA1510, WA1511]
Ver.5.0.4以降 Web-GUI機能で影響を受けます。
● Web-GUI機能
中間者攻撃を行う第三者によって、
暗号化された通信内容の一部を解読される可能性があります。
ダウンロード中のCA証明書が解読され、
設定する内容が解読される可能性があります。
対策
修正ソフトウェアへのバージョンアップ
[WA1020, WA1510, WA1511, WA2021]
Ver6.0.8以降へのバージョンアップ
[WA2020]
Ver5.1.9以降へのバージョンアップ
回避策
● Web-GUI
以下の対策を行うことにより、本脆弱性の影響を回避することが可能です。
・ Web-GUI機能を利用しない。
更新履歴
2014年10月28日 初版発行
2014年12月16日 2版発行(対策を記載)
2015年 1月13日 3版発行(WA2020の対策を記載)
資料請求・お問い合わせ