Japan

関連リンク

関連リンク

関連リンク

関連リンク

サイト内の現在位置を表示しています。

脆弱性問題(JVNVU#98283300)について

2015年1月13日
NEC 企業ネットワーク事業部 商品基盤グループ

はじめに

2014年10月16日にJPCERT/CCより、
  「SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)」
  というレポートが発表されました。

   JPCERT/CC
   Japan Vulnerability Notes JVNVU#98283300
    https://jvn.jp/vu/JVNVU98283300/index.html

   US-CERT
   Alert (TA14-290A)
    https://us-cert.cisa.gov/ncas/alerts/TA14-290A

   CERT/CC
   Vulnerability Notes VU#577193
    https://www.kb.cert.org/vuls/id/577193

   CVE-2014-3566
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566

予測される影響

  [影響を受ける条件]
    以下 2つの条件に合致する場合、この脆弱性問題の影響を受けます。

    1. 現在使用しているソフトウェアのバージョンがVer.4.2.3からVer.6.0.5の範囲に該当。
    2. 以下の機能を利用している。
       ・Web-GUI

製品カテゴリ

  [WA1020]
    Ver.4.2.3以降 Web-GUI機能で影響を受けます。
    Ver.4.1.6以前 影響を受けません。

  [WA2020, WA2021]
    Ver.4.2.3以降 Web-GUI機能で影響を受けます。
    Ver.4.1.4以前 影響を受けません。

  [WA1510, WA1511]
    Ver.5.0.4以降 Web-GUI機能で影響を受けます。

    ● Web-GUI機能
           中間者攻撃を行う第三者によって、
           暗号化された通信内容の一部を解読される可能性があります。
           ダウンロード中のCA証明書が解読され、
           設定する内容が解読される可能性があります。

対策

  修正ソフトウェアへのバージョンアップ

  [WA1020, WA1510, WA1511, WA2021]
    Ver6.0.8以降へのバージョンアップ

  [WA2020]
    Ver5.1.9以降へのバージョンアップ

回避策

    ● Web-GUI
        以下の対策を行うことにより、本脆弱性の影響を回避することが可能です。
        ・ Web-GUI機能を利用しない。

更新履歴

     2014年10月28日  初版発行
     2014年12月16日  2版発行(対策を記載)
     2015年 1月13日  3版発行(WA2020の対策を記載)

資料請求・お問い合わせ

Escキーで閉じる 閉じる