| Title | 複数の Microsoft Windows 製品の Schannel における EXPORT_RSA 暗号に対して暗号スイートのダウングレード攻撃を実行される脆弱性 |
|---|---|
| Summary | 複数の Microsoft Windows 製品の Schannel (別名 Secure Channel) は、TLS ステートの遷移を適切に制限しないため、EXPORT_RSA 暗号に対して暗号スイートのダウングレード攻撃を実行される脆弱性が存在します。 本件は、"FREAK" 問題に関する脆弱性です。 マイクロソフトセキュリティ情報には、この脆弱性は「Schannel のセキュリティ機能のバイパスの脆弱性」と記載されています。 |
| Possible impacts | 第三者により、巧妙に細工された TLS トラフィックを介して、EXPORT_RSA 暗号に対して暗号スイートのダウングレード攻撃を実行される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | March 5, 2015, midnight |
| Registration Date | March 9, 2015, 11:49 a.m. |
| Last Update | March 9, 2017, 3:33 p.m. |
| CVSS2.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| マイクロソフト |
| Microsoft Windows 7 for 32-bit Systems SP1 |
| Microsoft Windows 7 for x64-based Systems SP1 |
| Microsoft Windows 8 for 32-bit Systems |
| Microsoft Windows 8 for x64-based Systems |
| Microsoft Windows 8.1 for 32-bit Systems |
| Microsoft Windows 8.1 for x64-based Systems |
| Microsoft Windows RT |
| Microsoft Windows RT 8.1 |
| Microsoft Windows Server 2003 for Itanium-based Systems SP2 |
| Microsoft Windows Server 2003 SP2 |
| Microsoft Windows Server 2003 x64 Edition SP2 |
| Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール) |
| Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 |
| Microsoft Windows Server 2008 R2 for x64-based Systems SP1 |
| Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core インストール) |
| Microsoft Windows Server 2008 for 32-bit Systems SP2 |
| Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール) |
| Microsoft Windows Server 2008 for Itanium-based Systems SP2 |
| Microsoft Windows Server 2008 for x64-based Systems SP2 |
| Microsoft Windows Server 2012 |
| Microsoft Windows Server 2012 (Server Core インストール) |
| Microsoft Windows Server 2012 R2 |
| Microsoft Windows Server 2012 R2 (Server Core インストール) |
| Microsoft Windows Vista SP2 |
| Microsoft Windows Vista x64 Edition SP2 |
| 日本電気 |
| CapsSuite V4 から V5.1 |
| CSVIEW /FAQナビ 全バージョン |
| CSVIEW /Webアンケート 全バージョン |
| EnterpriseDirectoryServer Ver6.0 から Ver8.0 |
| EnterpriseIdentityManager 全バージョン |
| Express5800 /SG シリーズ InterSecVM/SG v1.2,v3.0,v3.1,v4.0 |
| Express5800 /SG シリーズ SG3600LM/LG/LJ v6.1,v6.2,v7.0,v7.1,v8.0 |
| Express5800 /SG シリーズ UNIVERGE SG3000LG/LJ |
| InfoCage セキュリティリスク管理 V1.0.2 から V2.1.4 |
| IP38X/SR100 Rev.10.00.44以降 |
| iStorage A シリーズ |
| iStorage D シリーズ |
| iStorage E シリーズ |
| iStorage HSシリーズ 全バージョン |
| iStorage M シリーズ (NAS オプション含む) |
| iStorage Neシリーズ Ver.002.05.00以降 |
| iStorage S シリーズ |
| SecureWare/PKIアプリケーション開発キット Ver3.0 |
| SecureWare/PKIアプリケーション開発キット Ver3.01 |
| SecureWare/PKIアプリケーション開発キット Ver3.02 |
| SecureWare/PKIアプリケーション開発キット Ver3.1 |
| WebOTX Enterprise Edition V4.2 から V6.5 |
| WebOTX Standard Edition V4.2 から V6.5 |
| WebOTX Standard-J Edition V4.1 から V6.5 |
| WebOTX UDDI Registry V1.1 から V7.1 |
| WebOTX Web Edition V4.1 から V6.5 |
| WebOTX Application Server Enterprise Edition V7.1 |
| WebOTX Application Server Enterprise V8.2 から V9.2 |
| WebOTX Application Server Express V8.2 から V9.2 |
| WebOTX Application Server Foundation V8.2 から V8.5 |
| WebOTX Application Server Standard Edition V7.1 |
| WebOTX Application Server Standard V8.2 から V9.2 |
| WebOTX Application Server Standard-J Edition V7.1 から V8.1 |
| WebOTX Application Server Web Edition V7.1 から V8.1 |
| WebOTX Enterprise Service Bus V6.4 から V9.2 |
| WebOTX Portal V8.2 から V9.1 |
| WebOTX SIP Application Server Standard Edition V7.1 から V8.1 |
| WebSAM Application Navigator V3.1.0.x から V4.1.0.x |
| WebSAM JobCenter CL/Web R13.1 |
| WebSAM JobCenter CL/Web R13.2 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2015年03月09日] 掲載 [2015年03月10日] 参考情報:JVN (JVNVU#99125992) を追加 参考情報:US-CERT Vulnerability Note (VU#243585) を追加 [2015年03月12日] 概要:内容を更新 対策:内容を更新 ベンダ情報:マイクロソフト (MS15-031) を追加 参考情報:IPA 重要なセキュリティ情報 (Microsoft 製品の脆弱性対策について(2015年3月)) を追加 参考情報:JPCERT 注意喚起 (JPCERT-AT-2015-0007) を追加 参考情報:警察庁 @police (マイクロソフト社のセキュリティ修正プログラムについて(MS15-018,019,020,021,022,023,024,025,026,027,028,029,030,031)(2015年03月11日)) を追加 [2015年03月20日] 参考情報:関連文書 (Tracking the FREAK Attack) を追加 [2015年04月07日] CVSS による深刻度:内容を更新 [2015年06月03日] ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加 [2016年01月29日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日本電気 (NV15-016) を追加 [2016年06月23日] 影響を受けるシステム:ベンダ情報の更新に伴い内容を更新 [2016年08月02日] 影響を受けるシステム:ベンダ情報の更新に伴い内容を更新 [2017年03月09日] 影響を受けるシステム:ベンダ情報の更新に伴い内容を更新 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Schannel (aka Secure Channel) in Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold and R2, and Windows RT Gold and 8.1 does not properly restrict TLS state transitions, which makes it easier for remote attackers to conduct cipher-downgrade attacks to EXPORT_RSA ciphers via crafted TLS traffic, related to the "FREAK" issue, a different vulnerability than CVE-2015-0204 and CVE-2015-1067. |
|---|---|
| Publication Date | March 7, 2015, 2:59 a.m. |
| Registration Date | Jan. 26, 2021, 2:46 p.m. |
| Last Update | Nov. 21, 2024, 11:25 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:o:microsoft:windows_server_2008:r2:sp1:*:*:*:*:x64:* | |||||
| cpe:2.3:o:microsoft:windows_server_2012:r2:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_rt:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_server_2008:r2:sp1:*:*:*:*:itanium:* | |||||
| cpe:2.3:o:microsoft:windows_8.1:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_server_2008:-:sp2:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_7:-:sp1:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_rt_8.1:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_vista:-:sp2:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_8:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_server_2012:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:microsoft:windows_server_2003:-:sp2:*:*:*:*:*:* | |||||