公開日: 2014/10/16  最終更新日: 2016/09/29

アライドテレシス株式会社からの情報

脆弱性識別番号:JVNVU#98283300
脆弱性タイトル:SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

下記に記載されている製品が当該脆弱性に該当致します。

1) 対象製品

・スイッチ製品
- CentreCOM 9408LC/SP 2.3.2J
- CentreCOM 9424T 2.11.6J

- SBx8100 5.4.4-0.5、5.4.4-1.1
- SBx908 5.4.4-0.5、5.4.4-1.1
- x900シリーズ 5.4.4-0.5、5.4.4-1.1
- x610シリーズ 5.4.4-0.5、5.4.4-1.1
- x510シリーズ 5.4.4-0.5、5.4.4-1.1、5.4.4-2.3
- x310シリーズ 5.4.4-1.1
- x230シリーズ 5.4.4-1.1、5.4.4-2.3
- x210シリーズ 5.4.4-0.5、5.4.4-1.1、5.4.4-2.3
- x200シリーズ 5.4.4-0.5、5.4.4-1.1
- DC2552XS 5.4.4A-0.1

  ・無線製品

- AT-TQ2450 2.0.6 B04
- AT-TQ3600 2.0.6 B04
- AT-UWC 2.1.0 B10


2) 影響
Alliedware Plus搭載スイッチは初期設定にてHTTPSサービスが動作しており、
当該脆弱性の攻撃を受ける可能性があります。
TQシリーズ、AT-UWCは初期設定では HTTPSが 無効ですが、有効にした場合に
当該脆弱性の攻撃を受ける可能性があります。

HTTPSを使用する機能は下記の通りです。

- Web認証機能
- WebGUI設定機能

3) 回避策
クライアント側のブラウザ設定にて SSLv3 の使用を無効にする事を推奨いたします。
設定の変更方法、もしくはSSLv3に関する対応方針については使用されているブラウザの
開発元が提供している情報をご確認下さい。

また、AT-UWCに関しては下記の設定画面からSSLv3を"Disable"に設定し無効にする事で
クライアント側の設定に関わらず脆弱性を回避する事が可能です。
設定方法は下記になります。
<http://www.allied-telesis.co.jp/support/list/wireless/uwc/rel/2.0.0/613001751b/docs/overview_130_Security_140_SecureHTTP_010_SecureHTTPConfiguration.html>


4) 以下の製品、バージョンで本脆弱性に対策済みです。
・スイッチ製品
- SBx8100、SBx908、x900シリーズ、x610シリーズ、DC2552XS、
x510シリーズ、x310シリーズ、x230シリーズ、x210シリーズ、x200シリーズ
5.4.4-2.4以降のバージョンで対策済みです。

  ・無線製品
- AT-TQ2450、AT-TQ3600、
3.2.1以降のバージョンで対策済みです。

- AT-UWC
3.2.0以降のバージョンで対策済みです。

以上