AX-VU2016-02「Webコンソールにおけるクリックジャッキングの脆弱性(JVN#48135658)」に関するご報告

AX第1版 2016-5-18
アラクサラネットワークス株式会社

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、「Webコンソールにおけるクリックジャッキングの脆弱性(JVN#48135658)」について報告致します。

出典

Japan Vulnerability Notes JVN#48135658

概要

WEBコンソールによる管理画面にログイン済みのユーザが細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる可能性があります。

影響

弊社製品では、AX620Rで本脆弱性の影響を受けます。
その他の製品では影響を受けません。

<AX620R>

想定される影響は、以下の条件に合致する場合に、意図しない操作をさせられる可能性があることです。

影響を受ける条件
  1. WEBコンソールを有効にしている。
機種、ソフトウェアバージョン別影響
機種名 バージョン 影響
AX620R-2015 Ver 7.5.16〜
Ver 8.3.49
影響を受けます。
AX620R-2005 Ver 7.5.16〜
Ver 8.9.23
影響を受けます。
AX620R-3010 Ver 8.2.19〜
Ver 9.1.11
影響を受けます。
AX620R-2105
AX620R-2025
AX620R-2215
AX620R-3110
Ver 9.1.11以前 影響を受けます。
Ver 9.2.20 影響を受けません。

回避方法

<AX620R>

次のいずれかの回避策をお願いいたします。

  1. Webコンソールを無効にする。
  2. Webコンソールの利用が終了したらブラウザを閉じ、認証情報を削除する。
  3. 適切なフィルタ設定やIPSec設定を行い、Webコンソールは不正アクセスできないセキュアなネットワーク上でのみ利用する。

対策

本脆弱性の対策版ソフトウェアの適用をお願いします。

対象製品

種別情報
No 装置シリーズ名 対象ソフトウェア製品 対策バージョン 対策版リリース日
1 AX8600S 本脆弱性に該当しません - -
2 AX7800S 本脆弱性に該当しません - -
3 AX6700S 本脆弱性に該当しません - -
4 AX6600S 本脆弱性に該当しません - -
5 AX6300S 本脆弱性に該当しません - -
6 AX5400S 本脆弱性に該当しません - -
7 AX4600S 本脆弱性に該当しません - -
8 AX3800S 本脆弱性に該当しません - -
9 AX3600S 本脆弱性に該当しません - -
10 AX2500S 本脆弱性に該当しません - -
11 AX2400S 本脆弱性に該当しません - -
12 AX2200S 本脆弱性に該当しません - -
13 AX1200S 本脆弱性に該当しません - -
14 AX8600R 本脆弱性に該当しません - -
15 AX7800R 本脆弱性に該当しません - -
16 AX7700R 本脆弱性に該当しません - -
17 AX2000R 本脆弱性に該当しません - -
18 AX620R 機種、バージョン、機能は【影響】を参照。 Ver 9.2.20 以降 リリース済 *1
*1
AX620R-2005、AX620R-2015、AX620R-3010においては、対策版ソフトウェアのリリース予定はございません。回避方法による対応を推奨いたします。

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

ソフトウェアの入手方法

対策版ソフトウェアの入手につきましては、購入元にご確認ください。