SA-W1の脆弱性情報です

OpenSSLに複数の脆弱性 (19 Mar 2015)
影響:あり
報告日:2015/04/09
概要

OpenSSLに複数の脆弱性が発見され、SSL/TLSプロトコルを使用する機能において中間者攻撃によって暗号強度の弱い暗号を使用させられたり、サービス拒否(DoS)攻撃を受ける可能性があります。

SA-W1への影響度

あり

該当機種
MODELModule Version
SA-W11.00 ~ 1.80
SA-W1への影響内容

OpenSSL Security Advisory [19 Mar 2015] で公開された脆弱性のうち、CVE-2015-0204、CVE-2015-0286およびCVE-2015-0292の影響を受ける可能性があります。

  1. 以下のキーでhttpsのURLを指定している場合にCVE-2015-0204およびCVE-2015-0286の影響があります。

    macfilter.entry-list.[].url
  2. CVE-2015-0286およびCVE-2015-0292は外部からの攻撃方法は確認されていませんが、潜在的にサービス拒否(DoS)攻撃を受ける可能性があります。 

なお、SACMサービスの弊社設備(フロートリンクのネームサーバ,アドバンストモニタリングサービスを含む)とのSSL/TLS通信にはCVE-2015-0204の影響が無いことを確認済みです。

SA-W1における対応

本脆弱性を修正したモジュールをリリースしました。

下記のバージョン以降への早急な変更を推奨します。

なお、CVE-2015-0204への対策として、全ての機能で輸出グレードの暗号を利用できないよう変更しました。

MODELModule Version
SA-W11.81
設定による回避策

なし

関連情報
  1. OpenSSL Security Advisory [19 Mar 2015]
  2. JVNVU#95877131 OpenSSL に複数の脆弱性