テクニカルFAQ

質問

[セキュリティ情報] SSL 3.0 脆弱性(POODLE)のSchneider Electric製品、APCブランド製品への影響について

このページでは、シュナイダーエレクトリックの複数製品に対するSSL 3.0プロトコルの脆弱性 (POODLE)の影響について説明しています。

SSL 3.0プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します(CVE-2014-3566)。この脆弱性はPOODLE (Padding Oracle On Downgraded Legacy Encryption)とも呼ばれています。
この脆弱性に対処するため、SSL 3.0を使用せず、TLS v1.2の使用を推奨します。
このページでは、複数のシュナイダー製品、APCブランド製品への影響を説明します。

この脆弱性の詳細については以下サイトを参照してください。

https://www.ipa.go.jp/security/announce/20141017-ssl.html
https://jvn.jp/vu/JVNVU98283300/index.html
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566

 

【概要】
SSL v3 プロトコルに対して、中間者攻撃により通信内容を解読する攻撃手法が報告されています。この攻撃手法は "POODLE" (Padding Oracle On Downgraded Legacy Encryption) と呼ばれています。

ウェブブラウザ等のプログラムの多くでは、上位のプロトコルで通信できない場合にプロトコルのバージョンをダウングレードして通信を行う機能 ("protocol downgrade dance") が実装されています。中間者攻撃(Man-In-the-Middle Attack) を通じて POODLE 攻撃を行う際には、この機能を悪用して SSL v3 による通信を行わせるように仕向けます。その後、SSL v3 でブロック暗号のCBCモードによる暗号化が行われている通信に対し、通信内容を解読します(パディングオラクル攻撃の一種)。現実的な攻撃シナリオとして、HTTP Cookie などの情報を取得する方法が挙げられています。
(Japan Vulnerability Notesポータルサイトより)


【各製品への影響と対策】

  • Data Center Operations (DCO) v7.4.0: 影響あり、v7.4.1以降で対応済み
     
  • Data Center Expert (DCE) v7.2.5:影響あり、 次バージョンで修正予定
     
  • NetBotz Appliances v4.4:影響あり、 v4.4.1以降で対応済み
     
  • Network Management Card 2 (NMC 2)およびNMCベースの製品: 影響あり、 通信パスにSSL v3を使用しないでください。
    ブラウザ側でSSL v3を無効にしている場合は、Network Management Card 2 (AP9630J/AP9631J)のファームウェアをv6.2.1以上に上げる必要があります。
    また、ファームウェアバージョン6.4.0でSSL v3を無効に設定可能ですので、ブラウザ側の対策がない場合にも本脆弱性の回避が可能です。ファームウェアはこちらのページからダウンロード可能です。
    現行バージョンおよびNetwork Management Card EX/EM (AP9617/AP9619)については、こちらのページを参照してください。
  • PowerChute Personal Edition: 影響なし
     
  • PowerChute Business Edition: 影響あり
Agent − 本脆弱性の対策を実施したブラウザを使用するか、ブラウザでのSSL 3.0の使用を無効にしてください。さらに、外部ネットワークに接続した環境では、ファイアウォールでポート2161をクローズすることを推奨します。Server/Console − 外部ネットワークに接続した環境では、ファイアウォールでポート2161および2260をクローズしてください。
  • PowerChute Network Shutdown: 影響あり、 本脆弱性の対策を実施したブラウザを使用するか、ブラウザでのSSL 3.0の使用を無効にしてください。
PowerChute Network Shutdown v3.xの仮想アプライアンスは本脆弱性の影響があります。以下の手順を実行してOpenSSLのアップデートをしてください。(v4.xの仮想アプライアンスでは本手順は不要です。)
1) 仮想アプライアンスのコンソールから以下を実行してください。
yum update openssl
2) インターネットにアクセスできない環境では、以下の手順を実行してください。
2a. インターネットに接続したコンピュータから、以下のファイルをダウンロードしてください。
http://mirror.centos.org/centos-5/5.11/updates/x86_64/RPMS/openssl-0.9.8e-32.el5_11.i686.rpm
http://mirror.centos.org/centos-5/5.11/updates/x86_64/RPMS/openssl-0.9.8e-32.el5_11.x86_64.rpm
2b. 上記のファイルをSCP/SFTPでアプライアンスにコピーしてください。
2c. 以下のコマンドを実行し、アップデートを行ってください。
rpm -U openssl-0.9.8e-32.el5_11.i686.rpm openssl-0.9.8e-32.el5_11.x86_64.rpm
2d. アップデートを有効にするために、仮想アプライアンスを再起動します。
 
  • 全てのバージョンの ISX Manager (ISXM): 影響あり、 販売終了製品のためアップデートの提供予定なし
     
  • APC Digital IP KVMs (KVM1116P, KVM2116P, KVM2132P) :影響あり。将来バージョンのファームウェアで対応予定。
これは役に立ちましたか?
私たちは情報を改善するために何ができるのでしょうか?