公開日: 2015/03/09  最終更新日: 2016/09/29

アライドテレシス株式会社からの情報

脆弱性識別番号:JVNVU#99125992
脆弱性タイトル:SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

1) 対象製品

下記に記載されている製品が当該脆弱性に該当致します。

1-1) Alliedware Plus搭載スイッチ[x Series]

本脆弱性は5.4.4-3.6以前のファームウェアバージョンがインストールされている場合に該当します。

1-2) DC2552XS

本脆弱性は現行の全てのバージョンで該当します。

1-3) Swim Manager, SkyMarshal, Alliedview NMS SE, Alliedview NMS EE

本脆弱性は上記製品には該当しませんが、上記製品の動作OSが該当する場合があります。
動作OSが本脆弱性に該当するかどうかにつきましては別途ご確認下さい。


2) 影響

該当バージョンの上記製品と本脆弱性を持つ端末でSSLによる通信を行っている場合、本脆弱性の
攻撃を受ける可能性があります。製品毎の当該機能は以下になります。

2-1) Alliedware Plus搭載スイッチ[x Series]

  本製品では下記機能でSSLを利用します。

  SSHサーバー/SSHクライアント
  httpsを利用したWeb認証
  WebGUI

2-2) DC2552XS

  本製品では下記機能でSSLを利用します。

  SSHサーバー/SSHクライアント
  httpsを利用したWeb認証


3) 回避策

上記に記載したSSL使用機能を利用する場合、対向として本脆弱性を持たない端末を使用することで
本脆弱性による攻撃を回避することが可能です。また、製品毎のバージョンアップによる対応は
以下の通りです。

3-1) Alliedware Plus搭載スイッチ[x Series]

本脆弱性はファームウェアバージョン 5.4.5-0.1以降、5.4.4-3.8以降で修正済みです。

3-2) DC2552XS

本脆弱性はファームウェアバージョン 5.4.5-2.1以降で修正済みです。

以上