Skip to main content

Fujitsu

Japan

SSL3.0の脆弱性(CVE-2014-3566)に対するIPCOM製品への影響について

掲載日:2014年10月27日

1.概要

SSL3.0プロトコルに暗号化データを解読される脆弱性が存在します。
SSL3.0をサポートするプログラムは、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能性があり、攻撃を受けると、SSLで暗号化された通信の一部が解読される可能性があります。
詳細は、下記の情報をご参照ください。

2.該当製品

2014年10月27日時点で、本脆弱性の影響を受けるIPCOM製品及び、ファームウェア版数・機能は下記の通りです。

  • 本脆弱性の影響を受ける可能性がある機能
    以下のいずれかの機能を使用している場合、本脆弱性の影響を受ける可能性があります。
    詳細は、「3.認証・検疫ゲートウェイ機能⁄Web認証機能(検疫あり・なし)⁄Webコンソール機能」を確認してください。
    • 認証・検疫ゲートウェイ機能(注a)
    • Web認証機能(検疫あり・なし)(注a)
    • Webコンソール機能
      (注a):SSL通信を行なっている場合
  • 本脆弱性により設定/設計変更の検討が必要になる機能
    以下のいずれかの機能を使用している場合、設定や設計の変更が必要になる場合があります。
    詳細は、「4.SSLアクセラレーター機能⁄SSL-VPN機能」を確認してください。
    • SSLアクセラレーター機能(注b)
    • SSL-VPN機能(注b)
    • Webコンソール機能
      (注b) SSL3.0を利用している、かつ、CBCブロック暗号を使用した暗号スイートが使用可能な場合。
    詳細は「5.サーバ負荷分散機能」を確認してください。
    • サーバ負荷分散機能(注c)
      (注c) SSLアプリケーション故障監視機能を利用している場合。

3.認証・検疫ゲートウェイ機能⁄Web認証機能(検疫あり・なし)⁄Webコンソール機能

3.1 発生条件

以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。

  1. 認証・検疫ゲートウェイ機能 (注a)
  2. Web認証機能(検疫あり・なし)(注a)
  3. Webコンソール機能
    (注a):SSL通信を行なっている場合

3.2 発生機種

2014年10月27日時点
本脆弱性の影響を受けるIPCOM製品及び、ファームウェア版数、機能は下記の通りです。
*1:認証・検疫ゲートウェイ機能
*2:Web認証機能(検疫あり・なし)
*3:Webコンソール機能あり
あり:本脆弱性影響あり、 —:発生対象外

IPCOM EXシリーズ(E10 ⁄ E20)
IPCOM EX E10系 E20系
1000 1200 2000 2200 1100 1300 2000A 2300 2500 2700
対象版数 E10L10 NF0001 ~ NF0101 (注1) E20L30 ~ E20L31 NF0201
IPCOM EX IN 製品なし 製品なし 製品なし 製品なし あり
*1
あり
*1
あり
*1
IPCOM EX LB あり
*3
あり
*3
あり
*3
IPCOM EX SC あり
*3
あり
*3
あり
*3
製品なし あり
*1
(注2)
あり
*1
あり
*1
あり
*1
あり
*1
IPCOM EX NW 製品なし あり
*1
あり
*1
あり
*1
あり
*1

(注1): *3機能ではE10L20以降は影響なし
(注2): IPCOM EX1100はE20L31以降

IPCOM VXシリーズ(E10)
IPCOM VX 2300 2700
IPCOM VX
IPCOM VAシリーズ(E20)
IPCOM VA 1100 1700
IPCOM VA LB 製品なし
IPCOM VA LS 製品なし
IPCOM VA SC
IPCOM Lシリーズ(E20)
  1410 1420
対象版数 ~ E20L11 NF0027 (注3)
IPCOM L あり
*2,*3
あり
*2,*3

(注3): *3機能ではE20L11は影響なし

IPCOM S2400シリーズ(E30)
  2400
対象版数 ~ E30L10 NF0067
IPCOM S2400 あり
*3

3.3回避方法

なし
盗聴の可能性があるネットワーク構成で使用されている場合に、以下の対策が必要です。

  1. 認証・検疫ゲートウェイ機能
    クライアント側(ブラウザ)でSSL3.0を無効化することによる回避をご検討ください。
  2. Web認証機能(検疫あり・なし)
    クライアント側(ブラウザ)でSSL3.0を無効化することによる回避をご検討ください。
  3. Webコンソール機能
    クライアント側(ブラウザおよびモニタ利用時はJRE)でSSL3.0を無効化することによる回避をご検討ください。

3.4 対処版数、時期

製品 版数 提供時期
IPCOM EX 1100/1300/2300/2500/2700 E20L31NF0301 2014年12月16日提供済
IPCOM EX 1000/1200/2000 E10L20NF0001 2007年4月11日提供済
IPCOM L E20L11NF0034 2015年11月27日提供済
IPCOM S2400 対処予定なし

4.SSLアクセラレーター機能⁄SSL-VPN機能

4.1 発生条件

以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。

  1. SSLアクセラレーター機能
  2. SSL-VPN機能

上記でSSL3.0を利用している、かつ、CBCブロック暗号を使用した暗号スイートが使用可能な場合。

4.2 発生機種

2014年10月27日時点

あり:本脆弱性影響あり、 —:発生対象
シリーズ 1.SSLアクセラレーター機能 2.SSL-VPN機能
対象版数 全版数
IPCOM EX あり あり
IPCOM VA あり
IPCOM S2400 あり

(注4):上記以外のシリーズは該当しません。

4.3 対処方法

IPCOMのprotocol定義でSSL3.0を無効化することで、本脆弱性の影響を回避することができます。
(注5):本定義変更により、SSL3.0による接続ができなくなるため、ご留意ください。

プロトコルからSSL3.0を除外する設定例。

  • IPCOM EX E20L20以降の場合(EX2000Aを除く)
    rule ssl-accel server 100
         protocol tls1.2,tls1.0
    
  • IPCOM EX E20L20未満または、EX2000Aの場合
    rule ssl-accel server 100
         protocol tls1.0 (またはtls1)
    

(注6):デフォルトではSSL3.0が含まれます。したがって、protocol定義がない場合も、上記の通り明示的にprotocol定義を追加して下さい。
(注7):TLS1.2はIPCOM EX E20L20以降のファームで利用可能です。ただし、EX2000Aでは利用出来ません。

5.サーバ負荷分散機能

5.1 発生現象

サーバ負荷分散機能のSSLアプリケーション故障監視機能はSSL3.0プロトコルを使用する為、本脆弱性への対処として、故障監視対象のSSLサーバ/SSLアクセラレーターのSSL3.0プロトコルを無効化すると、当該サーバの状態が故障中になります
・サーバ負荷分散機能でSSLアプリケーション故障監視を行っている。
かつ
・故障監視対象のSSLサーバ/SSLアクセラレーターでSSL3.0プロトコルが無効化されている場合。

5.2 発生機種

2014年10月27日時点

「対象」:発生機種、 「—」:対象外

IPCOM EXシリーズ(E20) 対象版数:全版数
  1100 1300 2000A 2300 2500 2700
IPCOM EX IN 製品なし 製品なし 対象 対象 対象 対象
IPCOM EX LB 対象 対象 対象 対象 対象 対象
IPCOM EX SC
IPCOM EX NW
IPCOM EXシリーズ(E10) 対象版数:全版数
  1000 1200 2000 2200
IPCOM EX IN 製品なし 製品なし 対象 対象
IPCOM EX LB 対象 対象 対象 対象
IPCOM EX SC 製品なし 製品なし
IPCOM EX NW 製品なし 製品なし
IPCOM VXシリーズ(E10)
  2300 2700
IPCOM VX
IPCOM VAシリーズ(E20) 版数:全版数
  1100 1700
IPCOM VA LB 対象 製品なし
IPCOM VA LS 製品なし 対象
IPCOM VA SC
IPCOM Lシリーズ(E20)
  1410 1420
IPCOM L
IPCOM S2400シリーズ(E30)対象版数:全版数
  2400
IPCOM S2400 対象

5.3 対処方法

なし。代替策として、サーバ負荷分散機能の故障監視方式を故障サービス監視(レイヤー4 レベル・ヘルスチェック)等に変更してください。

IPCOMシリーズ に関するお問い合わせ

Webでのお問い合わせ

資料請求・購入相談

技術お問い合わせ

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)