富士通ネットワーク製品およびCISCO製品のOpenSSL脆弱性への対応について
2004年3月25日
NISCC(National Infrastructure Security Co-Ordination Centre)(注1)より、「OpenSSL(注2)の実装に関する脆弱性」の存在が報告され、弊社ネットワーク製品ならびにCISCOファミリーハード製品(以下CISCO製品)においても脆弱性の存在が確認されました。 脆弱性の内容および対応方法についてご連絡いたします。
(注1) NISCC:National Infrastructure Security Co-Ordination Centreの略称
英国における重要インフラ保護のための機関。
(注2) SSL:Secure Sockets layer
トランスポート層でTCP/IP通信のセキュリティを確保するためのプロトコル
I. 脆弱性内容
1.概要
弊社ネットワーク製品において、下記2項に該当する製品全ての設定・管理時におけるhttps通信(WUI : Web User Interface)時にOpenSSLを利用しており、脆弱性の存在が確認されております。また、CISCO製品においても、OpenSSL実装に基づいたSSLサーバを起動させたネットワーク機器において、脆弱性の存在が確認されております。
2.対象製品
| 機種名 | 該当ファームウェア版数 |
|---|---|
| NetShelter/FW | E11L20~E11L23および、E12L10~E12L21 |
| NetShelter/FW-P | E10L10~E10L25およびE11L10~E11L32 |
| NetShelter/FW-L | E10L10 |
| NetShelter/FW-M | E10L10 |
| NetShelter/FW-G | E10L10~E10L21 |
| NetShelter/VW | E10L30~E10L34 |
| NetWatcher(センサー装置) | E10L11~E10L21 |
(注1) 上記バージョンについては、製品設定画面のメニュー項目「システム>稼動状況」にて確認可能です。
| 機種名 | IOS版数 |
|---|---|
| Cisco7200シリーズ(VXRも含む) | 12.1(11)E以降の12.1Eリリース かつ、 IPSec 56または、IPSec 3DES 対応Feature Set |
| Cisco PIX Firewall | PIX 6.xリリース |
(注1) なお、シスコシステムズ社の発表では、Catalyst6500シリーズおよびCisco7600シリーズ用の一部IOSが対象製品となっておりますが、弊社からは該当のIOSをご提供しておりません。
(注2) 上記IOSバージョンについては、製品設定画面にて「show version」コマンドを入力することで確認可能です。
3.発生現象/影響
NetShelter/NetWatcher
製品の設定・管理時にhttps通信を利用しており、悪意を持った攻撃者によるDoS(Denial of Services:サービス継続不能)攻撃を受ける可能性があります。なお、攻撃を受けた場合、製品の設定・管理は一時的に不可となりますが、WUIの再読み込みを行なうことにより、設定・管理機能は回復致します。また、設定・管理が不可の時でも、トラフィックの中継には影響を与えません。
CISCO 製品
CISCO製品では、SSLは主にhttpsサービスで提供されているため、該当製品において、httpsサービスを起動させ、かつ、このhttpサービスに対するアクセスが信頼できるホストやネットワーク管理装置に限定されない場合に、悪意を持った攻撃者によるDoS攻撃を受ける可
能性があります。本脆弱性に対する攻撃を受けた場合、該当製品がリブートする可能性があり、また、複数回の攻撃によりサービス停止状態となる可能性があります。
なお、該当製品宛のトラフィックのみで本脆弱性が顕在化し、該当製品にてSSLトラフィックの中継処理を行なう際には本脆弱性による影響はありません。
II.対応方法について
1. 恒久対策
各製品で脆弱性対処済み修正ソフトウェア(ファームウェア)をインストールすることにより、恒久的な対策を行うことが出来ます。
NetShelter/NetWatcher
脆弱性対処済みファームウェアを無償でご提供致します。ご購入頂いた販売会社または弊社担 当営業にご依頼下さい。
Cisco製品
脆弱性対処済みIOSソフトウェアを無償でご提供致します。ご購入頂いた販売会社または弊社担 当営業にご依頼下さい。
(注) IOSを変更した場合、FLASH/DRAMの容量が不足する場合があります。(詳細はIII.3項を参照して下さい)
ご注意事項
・脆弱性対処済ソフトウェアをインストールする場合、システム停止を伴う場合があります。
・インストール作業については弊社CE/SEまたはパートナー技術者が有償にてお承りします。
2. 当面の回避策
NetShelter/NetWatcher
(1) 当該装置のWUIへアクセスする端末を、信頼できる管理者端末のみアクセスできるよう設定する。
Cisco製品
(1) 内部からの攻撃の回避
・該当製品のhttpsサービスに対して、信頼できるホストやネットワーク管理装置からのみアクセスできる様にパケットフィルター機能を設定する。
(2) 外部からの攻撃の回避
現在、FireWall等で閉じられた社内ネットワーク内において、上記CISCO製品をお使い頂いている場合は、下記の回避策を講じて頂くことにより、外部からの攻撃の脅威にさらされる可能性を大きく低減することが可能です。
・インターネットとの境界にあるFireWallにおいて、httpsで外部より入ってくる通信の不許可設定をする。
・インターネットとの境界にあるルータ等の中継装置においてのフィルタリング設定により、httpsで外部より入ってくる通信を不許可とする。
3.お問い合わせ先
本件に関するお問い合わせにつきましては、対象製品をご購入頂いた販売会社、弊社担当営業、または以下へお問い合わせ下さい。
プラットフォームソリューションセンター
プロダクトマーケティング統括部 ネットワークビジネス推進部
Tel:(03)6252-2660(直通)
III.Cisco 製品に関してのご注意事項
1.シスコシステムズ社からの情報について
シスコシステムズ社下記URLを参照ください。
Cisco Systems社(米国)「Cisco OpenSSL Implementation Vulnerability」
2.脆弱性対応済みのIOSバージョン情報について
脆弱性対処済みバージョン情報は、シスコシステムズ社「Software Versions and Fixes」を参照ください。
3.IOSソフトバージョンアップ時の注意事項
Cisco7200のIOSを変更した場合、FLASH/DRAMの容量が不足する場合が有ります。
FLASH/DRAMメモリ容量が不足する場合には、お客様に追加のメモリをご購入頂く必要が有ります。
変更する前にFLASH/DRAMの容量を確認して下さい。FLASH/DRAM必要容量に関しては、シスコシステムズ社ホームページのRelease Notesを参照して下さい。
Cisco Systems社(米国)「(1) 12.1EのRelease Notes」
ご参考
- OpenSSL Security Advisory(OpenSSL Project)
- Vulnerability Issues in OpenSSL(英NISCC)
- OpenSSL SSL/TLS Handshake Denial of Service Vulnerabilities(デンマークSecunia)
- OpenSSLに複数の脆弱性(情報処理推進機構)
- OpenSSLの脆弱性について(警察庁)
