AX-VU2014-03「SSL3.0の脆弱性(POODLE)」に関するご報告

AX第1版 2014-10-27
AX第2版 2014-11-19
AX第3版2015-2-6
AX第4版 2015-4-10
AX第5版 2015-7-31
アラクサラネットワークス株式会社

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、SSL3.0の脆弱性(POODLE)について報告致します。

出典

US-CERT Vulnerability Note VU#577193
Date:October 17, 2014
Topic:POODLE vulnerability in SSL 3.0
Japan Vulnerability Notes JVNVU#98283300
CVE-2014-3566

概要

SSL v3.0 をサポートする機能において、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能性があります。

影響

弊社製品では、次の製品のhttpsを利用する機能で本脆弱性の影響を受けます。
想定される影響は、httpsを使用する機能での暗号化通信内容の漏えいとなります。
なお、対象機種の場合でも該当機能を未使用の場合は、影響はありません。

<AX6700S/6600S/6300S>
<AX4600S/3800S/3600S/AX2500S/2400S/2200S/1200S>

影響を受ける機能:
  • WEB認証
  • OAN

<AX620R>

影響を受ける機能:
  • ダイナミックDNS機能
  • ソフトウェアアップデート機能
  • 起動時ソフトウェアアップデート機能
  • 起動時コンフィグダウンロード機能
  • CA証明書のインポート機能

回避方法

<AX6700S/6600S/6300S>
<AX4600S/3800S/3600S/AX2500S/2400S/2200S/1200S>

WEB認証
  • WEB認証を行うクライアント設定で、TLS1.0 を有効 (SSL2.0,SSL3.0を無効)とすることで、回避可能です。
    (例)インターネットエクスプローラの場合、ツール⇒インターネットオプション⇒詳細設定で設定可能です。
OAN
  • AX-ON-API(AX-Networker's-Utility、AX-Config-Masterも含みます)のサーバ側Java実行環境でTLS1.0を有効(SSL2.0,SSL3.0を無効)とすることで回避可能です。
    (例) Java 7および6 の場合、コントロールパネル⇒ JAVA ⇒ 詳細で設定可能です。

<AX620R>

回避方法は、ありません。

対策

本脆弱性の対策版ソフトウェアの適用をお願いします。
対策版ソフトウェアでは、SSL3.0 は無効化されますのでTLS1.0をご利用ください。

対象製品

種別情報
No 装置シリーズ名 対象ソフトウェア製品 対策バージョン 対策版リリース日
1 AX8600S 本脆弱性に該当しません - -
2 AX7800S 本脆弱性に該当しません - -
3 AX6700S 本脆弱性に該当します Ver 11.9.K以降 リリース済
4 AX6600S 本脆弱性に該当します Ver 11.9.K以降 リリース済
5 AX6300S 本脆弱性に該当します Ver 11.9.K以降 リリース済
6 AX5400S 本脆弱性に該当しません - -
7 AX4600S 本脆弱性に該当します Ver 11.12以降 リリース済
8 AX3800S 本脆弱性に該当します Ver 11.13.A以降 リリース済
9 AX3600S 本脆弱性に該当します Ver 11.11.D(AX3630S)
Ver 11.13.A(その他)以降
リリース済
10 AX2500S 本脆弱性に該当します Ver 4.1以降 リリース済
11 AX2400S 本脆弱性に該当します Ver 11.7.J以降 リリース済
12 AX2200S 本脆弱性に該当します Ver 2.4.F以降 リリース済
13 AX1200S 本脆弱性に該当します Ver 2.4.F以降 リリース済 *1
14 AX8600R 本脆弱性に該当しません - -
15 AX7800R 本脆弱性に該当しません - -
16 AX7700R 本脆弱性に該当しません - -
17 AX2000R 本脆弱性に該当しません - -
18 AX620R 本脆弱性に該当します Ver 9.1.10以降 リリース済 *2
19 AX-Netowrker's-Utility,
AX-ON-API-SDK,
AX-Config-Master
本脆弱性に該当しません

*1 AX1230Sは、対策版ソフトウェアのリリース予定はございません。
*2 AX620R-2005、AX620R-2015は、対策版ソフトウェアのリリース予定はございません。

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

ソフトウェアの入手方法

対策版ソフトウェアの入手につきましては、購入元にご確認ください。