アライドテレシス株式会社からの情報
脆弱性識別番号:JVNVU#99125992
脆弱性タイトル:SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)
ステータス:該当製品あり
以下の情報は、製品開発者から JVN に提供されたものです。
1) 対象製品
下記に記載されている製品が当該脆弱性に該当致します。
1-1) Alliedware Plus搭載スイッチ[x Series]
本脆弱性は5.4.4-3.6以前のファームウェアバージョンがインストールされている場合に該当します。
1-2) DC2552XS
本脆弱性は現行の全てのバージョンで該当します。
1-3) Swim Manager, SkyMarshal, Alliedview NMS SE, Alliedview NMS EE
本脆弱性は上記製品には該当しませんが、上記製品の動作OSが該当する場合があります。
動作OSが本脆弱性に該当するかどうかにつきましては別途ご確認下さい。
2) 影響
該当バージョンの上記製品と本脆弱性を持つ端末でSSLによる通信を行っている場合、本脆弱性の
攻撃を受ける可能性があります。製品毎の当該機能は以下になります。
2-1) Alliedware Plus搭載スイッチ[x Series]
本製品では下記機能でSSLを利用します。
SSHサーバー/SSHクライアント
httpsを利用したWeb認証
WebGUI
2-2) DC2552XS
本製品では下記機能でSSLを利用します。
SSHサーバー/SSHクライアント
httpsを利用したWeb認証
3) 回避策
上記に記載したSSL使用機能を利用する場合、対向として本脆弱性を持たない端末を使用することで
本脆弱性による攻撃を回避することが可能です。また、製品毎のバージョンアップによる対応は
以下の通りです。
3-1) Alliedware Plus搭載スイッチ[x Series]
本脆弱性はファームウェアバージョン 5.4.5-0.1以降、5.4.4-3.8以降で修正済みです。
3-2) DC2552XS
本脆弱性はファームウェアバージョン 5.4.5-2.1以降で修正済みです。
以上
