掲載日:2014年10月27日
SSL3.0プロトコルに暗号化データを解読される脆弱性が存在します。
SSL3.0をサポートするプログラムは、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能性があり、攻撃を受けると、SSLで暗号化された通信の一部が解読される可能性があります。
詳細は、下記の情報をご参照ください。
2014年10月27日時点で、本脆弱性の影響を受けるIPCOM製品及び、ファームウェア版数・機能は下記の通りです。
以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。
2014年10月27日時点
本脆弱性の影響を受けるIPCOM製品及び、ファームウェア版数、機能は下記の通りです。
*1:認証・検疫ゲートウェイ機能
*2:Web認証機能(検疫あり・なし)
*3:Webコンソール機能あり
あり:本脆弱性影響あり、 —:発生対象外
IPCOM EX | E10系 | E20系 | ||||||||
---|---|---|---|---|---|---|---|---|---|---|
1000 | 1200 | 2000 | 2200 | 1100 | 1300 | 2000A | 2300 | 2500 | 2700 | |
対象版数 | E10L10 NF0001 ~ NF0101 (注1) | E20L30 ~ E20L31 NF0201 | ||||||||
IPCOM EX IN | 製品なし | 製品なし | — | — | 製品なし | 製品なし | — | あり
*1 |
あり
*1 |
あり
*1 |
IPCOM EX LB | あり
*3 |
あり
*3 |
あり
*3 |
— | — | — | — | — | — | — |
IPCOM EX SC | あり
*3 |
あり
*3 |
あり
*3 |
製品なし | あり
*1 (注2) |
あり
*1 |
— | あり
*1 |
あり
*1 |
あり
*1 |
IPCOM EX NW | — | — | — | 製品なし | — | あり
*1 |
— | あり
*1 |
あり
*1 |
あり
*1 |
(注1): *3機能ではE10L20以降は影響なし
(注2): IPCOM EX1100はE20L31以降
IPCOM VX | 2300 | 2700 |
---|---|---|
IPCOM VX | — | — |
IPCOM VA | 1100 | 1700 |
---|---|---|
IPCOM VA LB | — | 製品なし |
IPCOM VA LS | 製品なし | — |
IPCOM VA SC | — | — |
1410 | 1420 | |
---|---|---|
対象版数 | ~ E20L11 NF0027 (注3) | |
IPCOM L | あり
*2,*3 |
あり
*2,*3 |
(注3): *3機能ではE20L11は影響なし
2400 | |
---|---|
対象版数 | ~ E30L10 NF0067 |
IPCOM S2400 | あり
*3 |
なし
盗聴の可能性があるネットワーク構成で使用されている場合に、以下の対策が必要です。
製品 | 版数 | 提供時期 |
---|---|---|
IPCOM EX 1100/1300/2300/2500/2700 | E20L31NF0301 | 2014年12月16日提供済 |
IPCOM EX 1000/1200/2000 | E10L20NF0001 | 2007年4月11日提供済 |
IPCOM L | E20L11NF0034 | 2015年11月27日提供済 |
IPCOM S2400 | 対処予定なし |
以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。
上記でSSL3.0を利用している、かつ、CBCブロック暗号を使用した暗号スイートが使用可能な場合。
2014年10月27日時点
シリーズ | 1.SSLアクセラレーター機能 | 2.SSL-VPN機能 |
---|---|---|
対象版数 | 全版数 | |
IPCOM EX | あり | あり |
IPCOM VA | あり | — |
IPCOM S2400 | あり | — |
(注4):上記以外のシリーズは該当しません。
IPCOMのprotocol定義でSSL3.0を無効化することで、本脆弱性の影響を回避することができます。
(注5):本定義変更により、SSL3.0による接続ができなくなるため、ご留意ください。
プロトコルからSSL3.0を除外する設定例。
rule ssl-accel server 100 protocol tls1.2,tls1.0 |
rule ssl-accel server 100 protocol tls1.0 (またはtls1) |
(注6):デフォルトではSSL3.0が含まれます。したがって、protocol定義がない場合も、上記の通り明示的にprotocol定義を追加して下さい。
(注7):TLS1.2はIPCOM EX E20L20以降のファームで利用可能です。ただし、EX2000Aでは利用出来ません。
サーバ負荷分散機能のSSLアプリケーション故障監視機能はSSL3.0プロトコルを使用する為、本脆弱性への対処として、故障監視対象のSSLサーバ/SSLアクセラレーターのSSL3.0プロトコルを無効化すると、当該サーバの状態が故障中になります
・サーバ負荷分散機能でSSLアプリケーション故障監視を行っている。
かつ
・故障監視対象のSSLサーバ/SSLアクセラレーターでSSL3.0プロトコルが無効化されている場合。
2014年10月27日時点
「対象」:発生機種、 「—」:対象外
1100 | 1300 | 2000A | 2300 | 2500 | 2700 | |
---|---|---|---|---|---|---|
IPCOM EX IN | 製品なし | 製品なし | 対象 | 対象 | 対象 | 対象 |
IPCOM EX LB | 対象 | 対象 | 対象 | 対象 | 対象 | 対象 |
IPCOM EX SC | — | — | — | — | — | — |
IPCOM EX NW | — | — | — | — | — | — |
1000 | 1200 | 2000 | 2200 | |
---|---|---|---|---|
IPCOM EX IN | 製品なし | 製品なし | 対象 | 対象 |
IPCOM EX LB | 対象 | 対象 | 対象 | 対象 |
IPCOM EX SC | — | — | 製品なし | 製品なし |
IPCOM EX NW | — | — | 製品なし | 製品なし |
2300 | 2700 | |
---|---|---|
IPCOM VX | — | — |
1100 | 1700 | |
---|---|---|
IPCOM VA LB | 対象 | 製品なし |
IPCOM VA LS | 製品なし | 対象 |
IPCOM VA SC | — | — |
1410 | 1420 | |
---|---|---|
IPCOM L | — | — |
2400 | |
---|---|
IPCOM S2400 | 対象 |
なし。代替策として、サーバ負荷分散機能の故障監視方式を故障サービス監視(レイヤー4 レベル・ヘルスチェック)等に変更してください。