SSL3.0の脆弱性(CVE-2014-3566)に対するIPCOM製品への影響について

掲載日：2014年10月27日

1.概要

SSL3.0プロトコルに暗号化データを解読される脆弱性が存在します。
SSL3.0をサポートするプログラムは、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能性があり、攻撃を受けると、SSLで暗号化された通信の一部が解読される可能性があります。
詳細は、下記の情報をご参照ください。

SSL 3.0 の脆弱性対策について(CVE-2014-3566) (IPA)
CVE-2014-3566（英文） (CVE)

ページの先頭へ

2.該当製品

2014年10月27日時点で、本脆弱性の影響を受けるIPCOM製品及び、ファームウェア版数・機能は下記の通りです。

本脆弱性の影響を受ける可能性がある機能
以下のいずれかの機能を使用している場合、本脆弱性の影響を受ける可能性があります。
詳細は、「3．認証・検疫ゲートウェイ機能⁄Web認証機能（検疫あり･なし）⁄Webコンソール機能」を確認してください。
- 認証・検疫ゲートウェイ機能(注a)
- Web認証機能（検疫あり･なし）(注a)
- Webコンソール機能
  (注a)：SSL通信を行なっている場合
本脆弱性により設定/設計変更の検討が必要になる機能
以下のいずれかの機能を使用している場合、設定や設計の変更が必要になる場合があります。
詳細は、「4.SSLアクセラレーター機能⁄SSL-VPN機能」を確認してください。
- SSLアクセラレーター機能(注b)
- SSL-VPN機能(注b)
- Webコンソール機能
  (注b) SSL3.0を利用している、かつ、CBCブロック暗号を使用した暗号スイートが使用可能な場合。
詳細は「5.サーバ負荷分散機能」を確認してください。
- サーバ負荷分散機能(注c)
  (注c) SSLアプリケーション故障監視機能を利用している場合。

ページの先頭へ

3．認証・検疫ゲートウェイ機能⁄Web認証機能（検疫あり･なし）⁄Webコンソール機能

3.1 発生条件

以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。

認証・検疫ゲートウェイ機能 (注a)
Web認証機能（検疫あり･なし）(注a)
Webコンソール機能
(注a)：SSL通信を行なっている場合

3.2 発生機種

2014年10月27日時点
本脆弱性の影響を受けるIPCOM製品及び、ファームウェア版数、機能は下記の通りです。
*1：認証・検疫ゲートウェイ機能
*2：Web認証機能（検疫あり・なし）
*3：Webコンソール機能あり
あり：本脆弱性影響あり、 —：発生対象外

IPCOM EXシリーズ（E10 ⁄ E20）
IPCOM EX	E10系				E20系
IPCOM EX	1000	1200	2000	2200	1100	1300	2000A	2300	2500	2700
対象版数	E10L10 NF0001 ～ NF0101 (注1)				E20L30 ～ E20L31 NF0201
IPCOM EX IN	製品なし	製品なし	—	—	製品なし	製品なし	—	あり *1	あり *1	あり *1
IPCOM EX LB	あり *3	あり *3	あり *3	—	—	—	—	—	—	—
IPCOM EX SC	あり *3	あり *3	あり *3	製品なし	あり *1 （注2）	あり *1	—	あり *1	あり *1	あり *1
IPCOM EX NW	—	—	—	製品なし	—	あり *1	—	あり *1	あり *1	あり *1

(注1)： *3機能ではE10L20以降は影響なし
(注2)： IPCOM EX1100はE20L31以降

IPCOM VXシリーズ（E10）
IPCOM VX	2300	2700
IPCOM VX	—	—

IPCOM VAシリーズ（E20）
IPCOM VA	1100	1700
IPCOM VA LB	—	製品なし
IPCOM VA LS	製品なし	—
IPCOM VA SC	—	—

IPCOM Lシリーズ（E20）
	1410	1420
対象版数	～ E20L11 NF0027 (注3)
IPCOM L	あり 2,3	あり 2,3

(注3)： *3機能ではE20L11は影響なし

IPCOM S2400シリーズ（E30）
	2400
対象版数	～ E30L10 NF0067
IPCOM S2400	あり *3

3.3回避方法

なし
盗聴の可能性があるネットワーク構成で使用されている場合に、以下の対策が必要です。

認証・検疫ゲートウェイ機能
クライアント側（ブラウザ）でSSL3.0を無効化することによる回避をご検討ください。
Web認証機能（検疫あり･なし）
クライアント側（ブラウザ）でSSL3.0を無効化することによる回避をご検討ください。
Webコンソール機能
クライアント側（ブラウザおよびモニタ利用時はJRE）でSSL3.0を無効化することによる回避をご検討ください。

3.4 対処版数、時期

製品	版数	提供時期
IPCOM EX 1100/1300/2300/2500/2700	E20L31NF0301	2014年12月16日提供済
IPCOM EX 1000/1200/2000	E10L20NF0001	2007年4月11日提供済
IPCOM L	E20L11NF0034	2015年11月27日提供済
IPCOM S2400	対処予定なし

ページの先頭へ

4.SSLアクセラレーター機能⁄SSL-VPN機能

4.1 発生条件

以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。

SSLアクセラレーター機能
SSL-VPN機能

上記でSSL3.0を利用している、かつ、CBCブロック暗号を使用した暗号スイートが使用可能な場合。

4.2 発生機種

2014年10月27日時点

あり：本脆弱性影響あり、 —：発生対象
シリーズ	1.SSLアクセラレーター機能	2.SSL-VPN機能
対象版数	全版数
IPCOM EX	あり	あり
IPCOM VA	あり	—
IPCOM S2400	あり	—

（注4）：上記以外のシリーズは該当しません。

4.3 対処方法

IPCOMのprotocol定義でSSL3.0を無効化することで、本脆弱性の影響を回避することができます。
（注5）：本定義変更により、SSL3.0による接続ができなくなるため、ご留意ください。

プロトコルからSSL3.0を除外する設定例。

IPCOM EX E20L20以降の場合（EX2000Aを除く）

rule ssl-accel server 100
     protocol tls1.2,tls1.0

IPCOM EX E20L20未満または、EX2000Aの場合

rule ssl-accel server 100
     protocol tls1.0 （またはtls1）

（注6）：デフォルトではSSL3.0が含まれます。したがって、protocol定義がない場合も、上記の通り明示的にprotocol定義を追加して下さい。
（注7）：TLS1.2はIPCOM EX E20L20以降のファームで利用可能です。ただし、EX2000Aでは利用出来ません。

ページの先頭へ

5.サーバ負荷分散機能

5.1 発生現象

サーバ負荷分散機能のSSLアプリケーション故障監視機能はSSL3.0プロトコルを使用する為、本脆弱性への対処として、故障監視対象のSSLサーバ/SSLアクセラレーターのSSL3.0プロトコルを無効化すると、当該サーバの状態が故障中になります
・サーバ負荷分散機能でSSLアプリケーション故障監視を行っている。
かつ
・故障監視対象のSSLサーバ/SSLアクセラレーターでSSL3.0プロトコルが無効化されている場合。

5.2 発生機種

2014年10月27日時点

「対象」：発生機種、「—」：対象外

IPCOM EXシリーズ（E20）対象版数：全版数
	1100	1300	2000A	2300	2500	2700
IPCOM EX IN	製品なし	製品なし	対象	対象	対象	対象
IPCOM EX LB	対象	対象	対象	対象	対象	対象
IPCOM EX SC	—	—	—	—	—	—
IPCOM EX NW	—	—	—	—	—	—

IPCOM EXシリーズ（E10）対象版数：全版数
	1000	1200	2000	2200
IPCOM EX IN	製品なし	製品なし	対象	対象
IPCOM EX LB	対象	対象	対象	対象
IPCOM EX SC	—	—	製品なし	製品なし
IPCOM EX NW	—	—	製品なし	製品なし