[セキュリティ情報] SSL 3.0 脆弱性(POODLE)のSchneider Electric製品, APCブランド製品への影響について (2014年10月公開)

このページでは、シュナイダーエレクトリックの複数製品に対するSSL 3.0プロトコルの脆弱性 (POODLE)の影響について説明しています。

SSL 3.0プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します(CVE-2014-3566)。
この脆弱性はPOODLE (Padding Oracle On Downgraded Legacy Encryption)とも呼ばれています。
この脆弱性に対処するため、SSL 3.0を使用せず、TLS v1.2の使用を推奨します。
このページでは、複数のシュナイダー製品、APCブランド製品への影響を説明します。

この脆弱性の詳細については以下サイトを参照してください。
https://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004670.html
https://nvd.nist.gov/vuln/detail/CVE-2014-3566

【概要】
SSL v3 プロトコルに対して、中間者攻撃により通信内容を解読する攻撃手法が報告されています。
この攻撃手法は "POODLE" (Padding Oracle On Downgraded Legacy Encryption) と呼ばれています。

Webブラウザー等のプログラムの多くでは、上位のプロトコルで通信できない場合に
プロトコルのバージョンをダウングレードして通信を行う機能 ("protocol downgrade dance") が実装されています。
中間者攻撃(Man-In-the-Middle Attack) を通じて POODLE 攻撃を行う際には、
この機能を悪用して SSL v3 による通信を行わせるように仕向けます。
その後、SSL v3 でブロック暗号のCBCモードによる暗号化が行われている通信に対し、
通信内容を解読します(パディングオラクル攻撃の一種)。現実的な攻撃シナリオとして、
HTTP Cookie などの情報を取得する方法が挙げられています。
(Japan Vulnerability Notesポータルサイトより)

【各製品への影響と対策】 (2014年時点 販売製品)

・Data Center Operations (DCO) v7.4.0 : 影響あり
* v7.4.1以降で対応済み

・Data Center Expert (DCE) v7.2.5 : 影響あり
* 次バージョンで修正予定

・NetBotz Appliances v4.4 : 影響あり
* v4.4.1以降で対応済み

・Network Management Card 2(NMC 2) および NMCベースの製品 : 影響あり
* 通信パスにSSL v3を使用しないでください

Webブラウザー側でSSL v3を無効にしている場合は、
Network Management Card 2 (AP9630J/AP9631J)のファームウェアをv6.2.1以上に上げる必要があります。
また、ファームウェアv6.4.0でSSL v3を無効に設定可能ですので、Webブラウザー側の対策がない場合にも
本脆弱性の回避が可能です。ファームウェアは以下のページからダウンロード可能です。
APCブランド製品 ファームウェア アップデートモジュール

現行バージョン および Network Management Card EX/EM (AP9617/AP9619)についても
上記のページを参照してください。

・PowerChute Personal Edition : 影響なし

・PowerChute Business Edition : 影響あり
本脆弱性の対策を実施したWebブラウザーを使用するか、WebブラウザーでのSSL 3.0の使用を無効にしてください。
PowerChute Network Shutdown v3.xの仮想アプライアンスは本脆弱性の影響があります。
* PowerChute Network Shutdown v3.xの販売・サポートは終了させていただきました

以下の手順を実行してOpenSSLのアップデートをしてください。(v4.xの仮想アプライアンスでは本手順は不要です。)