アライドテレシス株式会社からの情報
脆弱性識別番号:JVN#61247051
脆弱性タイトル:OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
ステータス:該当製品あり
以下の情報は、製品開発者から JVN に提供されたものです。
Alliedware Plus搭載スイッチの以下Firmware versionは当該脆弱性に該当致します。
1) 対象製品
- SBx8100 5.4.4-0.3a、5.4.4-0.4
- SBx908 5.4.4-0.4
- x900シリーズ 5.4.4-0.4
- x610シリーズ 5.4.4-0.4
- x510シリーズ 5.4.4-0.4
- x210シリーズ 5.4.4-0.4
- x200シリーズ 5.4.4-0.4
2) 影響
Alliedware Plus搭載スイッチは初期設定にてHTTPSサービスが動作しており、
当該脆弱性の攻撃を受ける可能性があります。
又、以下の機能を利用している場合も当該脆弱性の攻撃を受ける可能性があります。
- Web認証機能 (HTTPSを利用している場合)
- WebGUI設定機能
3) 回避策
以下いずれかの回避策についてご検討をお願い致します。
① Firmwareのversion down
Firmware versionが5.4.3以前の場合は当該脆弱性に該当致しません。
② HTTPサービスの無効化 (上記影響機能を利用していない場合)
以下コマンドを実行する事で、HTTPサービスを無効化する事が可能です。
"no service http"
③ HTTPSによるアクセスの遮断 (上記影響機能を利用している場合)
ACL機能を利用し、筐体宛のHTTPS通信を遮断します。
設定例
"access-list 3000 deny tcp any any eq 443"
又、Web認証機能にてHTTPSを利用している場合は、合わせて以下コマンドを
設定し、HTTPによる認証へ変更して下さい。
"no auth-web-server ssl"
以上