AX-VU2014-03「SSL3.0の脆弱性(POODLE)」に関するご報告
AX第1版 2014-10-27
AX第2版 2014-11-19
AX第3版2015-2-6
AX第4版 2015-4-10
AX第5版 2015-7-31
アラクサラネットワークス株式会社
平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、SSL3.0の脆弱性(POODLE)について報告致します。
出典
- US-CERT Vulnerability Note VU#577193
- Date:October 17, 2014
Topic:POODLE vulnerability in SSL 3.0 - Japan Vulnerability Notes JVNVU#98283300
- CVE-2014-3566
概要
SSL v3.0 をサポートする機能において、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能性があります。
影響
弊社製品では、次の製品のhttpsを利用する機能で本脆弱性の影響を受けます。
想定される影響は、httpsを使用する機能での暗号化通信内容の漏えいとなります。
なお、対象機種の場合でも該当機能を未使用の場合は、影響はありません。
<AX6700S/6600S/6300S>
<AX4600S/3800S/3600S/AX2500S/2400S/2200S/1200S>
- 影響を受ける機能:
-
- WEB認証
- OAN
<AX620R>
- 影響を受ける機能:
-
- ダイナミックDNS機能
- ソフトウェアアップデート機能
- 起動時ソフトウェアアップデート機能
- 起動時コンフィグダウンロード機能
- CA証明書のインポート機能
回避方法
<AX6700S/6600S/6300S>
<AX4600S/3800S/3600S/AX2500S/2400S/2200S/1200S>
- WEB認証
- WEB認証を行うクライアント設定で、TLS1.0 を有効 (SSL2.0,SSL3.0を無効)とすることで、回避可能です。
(例)インターネットエクスプローラの場合、ツール⇒インターネットオプション⇒詳細設定で設定可能です。
- WEB認証を行うクライアント設定で、TLS1.0 を有効 (SSL2.0,SSL3.0を無効)とすることで、回避可能です。
- OAN
-
- AX-ON-API(AX-Networker's-Utility、AX-Config-Masterも含みます)のサーバ側Java実行環境でTLS1.0を有効(SSL2.0,SSL3.0を無効)とすることで回避可能です。
(例) Java 7および6 の場合、コントロールパネル⇒ JAVA ⇒ 詳細で設定可能です。
- AX-ON-API(AX-Networker's-Utility、AX-Config-Masterも含みます)のサーバ側Java実行環境でTLS1.0を有効(SSL2.0,SSL3.0を無効)とすることで回避可能です。
<AX620R>
回避方法は、ありません。
対策
本脆弱性の対策版ソフトウェアの適用をお願いします。
対策版ソフトウェアでは、SSL3.0 は無効化されますのでTLS1.0をご利用ください。
対象製品
No | 装置シリーズ名 | 対象ソフトウェア製品 | 対策バージョン | 対策版リリース日 |
---|---|---|---|---|
1 | AX8600S | 本脆弱性に該当しません | - | - |
2 | AX7800S | 本脆弱性に該当しません | - | - |
3 | AX6700S | 本脆弱性に該当します | Ver 11.9.K以降 | リリース済 |
4 | AX6600S | 本脆弱性に該当します | Ver 11.9.K以降 | リリース済 |
5 | AX6300S | 本脆弱性に該当します | Ver 11.9.K以降 | リリース済 |
6 | AX5400S | 本脆弱性に該当しません | - | - |
7 | AX4600S | 本脆弱性に該当します | Ver 11.12以降 | リリース済 |
8 | AX3800S | 本脆弱性に該当します | Ver 11.13.A以降 | リリース済 |
9 | AX3600S | 本脆弱性に該当します | Ver 11.11.D(AX3630S) Ver 11.13.A(その他)以降 |
リリース済 |
10 | AX2500S | 本脆弱性に該当します | Ver 4.1以降 | リリース済 |
11 | AX2400S | 本脆弱性に該当します | Ver 11.7.J以降 | リリース済 |
12 | AX2200S | 本脆弱性に該当します | Ver 2.4.F以降 | リリース済 |
13 | AX1200S | 本脆弱性に該当します | Ver 2.4.F以降 | リリース済 *1 |
14 | AX8600R | 本脆弱性に該当しません | - | - |
15 | AX7800R | 本脆弱性に該当しません | - | - |
16 | AX7700R | 本脆弱性に該当しません | - | - |
17 | AX2000R | 本脆弱性に該当しません | - | - |
18 | AX620R | 本脆弱性に該当します | Ver 9.1.10以降 | リリース済 *2 |
19 | AX-Netowrker's-Utility, AX-ON-API-SDK, AX-Config-Master |
本脆弱性に該当しません | - | - |
*1 AX1230Sは、対策版ソフトウェアのリリース予定はございません。
*2 AX620R-2005、AX620R-2015は、対策版ソフトウェアのリリース予定はございません。
なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
ソフトウェアの入手方法
対策版ソフトウェアの入手につきましては、購入元にご確認ください。