| Title | SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃) |
|---|---|
| Summary | SSL/TLS の実装の中には、意図して設定しなくても輸出グレード (512 ビット以下) の RSA 鍵を受け入れるものが存在します。このようなソフトウエアに対して中間者攻撃 (man-in-the-middle attack) が行われると、暗号化に使われている鍵を解読され、SSL/TLS トラフィックの内容を復号される可能性があります。これは「FREAK 攻撃」とも呼ばれています。 アルゴリズムのダウングレード (CWE-757) CWE-757: Selection of Less-Secure Algorithm During Negotiation ('Algorithm Downgrade') https://cwe.mitre.org/data/definitions/757.html 不適切な暗号強度 (CWE-326) CWE-326: Inadequate Encryption Strength https://cwe.mitre.org/data/definitions/326.html SSL/TLS の実装の中には、意図して設定しなくても輸出グレード (512 ビット以下) の RSA 鍵を受け入れるものが存在します。このようなソフトウエアに対して中間者攻撃が行われた場合、通信開始時のネゴシエーションにおいて弱い鍵を使うように誘導され、結果として、暗号化された情報を復号される可能性があります。 発見者は、本件に関する詳細情報を公開しています。 FREAK: Factoring RSA Export Keys https://www.smacktls.com/#freak |
| Possible impacts | 中間者攻撃 (man-in-the-middle attack) により、SSL/TLS 通信の内容を復号される可能性があります。 |
| Solution | [使用している SSL/TLS ライブラリやアプリケーションをアップデートする] 開発者が提供する情報や CERT/CC Vulnerability Note VU#243585 の Vendor Information に掲載されている情報を参考に、ソフトウエアをアップデートしてください。 CERT/CC Vulnerability Note VU#243585 Vendor Information http://www.kb.cert.org/vuls/id/243585#vendors [輸出グレードの暗号を使用しない] ソフトウエアの設定で、輸出グレードの暗号を使用しない設定に変更してください。 |
| Publication Date | March 6, 2015, midnight |
| Registration Date | March 10, 2015, 2:19 p.m. |
| Last Update | March 9, 2017, 3:33 p.m. |
| CVSS2.0 : 危険 | |
| Score | 7.8 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:C/I:N/A:N |
| 日本電気 |
| CapsSuite V4 から V5.1 |
| CSVIEW /FAQナビ 全バージョン |
| CSVIEW /Webアンケート 全バージョン |
| EnterpriseDirectoryServer Ver6.0 から Ver8.0 |
| EnterpriseIdentityManager 全バージョン |
| Express5800 /SG シリーズ InterSecVM/SG v1.2,v3.0,v3.1,v4.0 |
| Express5800 /SG シリーズ SG3600LM/LG/LJ v6.1,v6.2,v7.0,v7.1,v8.0 |
| Express5800 /SG シリーズ UNIVERGE SG3000LG/LJ |
| InfoCage セキュリティリスク管理 V1.0.2 から V2.1.4 |
| IP38X/SR100 Rev.10.00.44以降 |
| iStorage A シリーズ |
| iStorage D シリーズ |
| iStorage E シリーズ |
| iStorage HSシリーズ 全バージョン |
| iStorage M シリーズ (NAS オプション含む) |
| iStorage Neシリーズ Ver.002.05.00以降 |
| iStorage S シリーズ |
| SecureWare/PKIアプリケーション開発キット Ver3.0 |
| SecureWare/PKIアプリケーション開発キット Ver3.01 |
| SecureWare/PKIアプリケーション開発キット Ver3.02 |
| SecureWare/PKIアプリケーション開発キット Ver3.1 |
| WebOTX Enterprise Edition V4.2 から V6.5 |
| WebOTX Standard Edition V4.2 から V6.5 |
| WebOTX Standard-J Edition V4.1 から V6.5 |
| WebOTX UDDI Registry V1.1 から V7.1 |
| WebOTX Web Edition V4.1 から V6.5 |
| WebOTX Application Server Enterprise Edition V7.1 |
| WebOTX Application Server Enterprise V8.2 から V9.2 |
| WebOTX Application Server Express V8.2 から V9.2 |
| WebOTX Application Server Foundation V8.2 から V8.5 |
| WebOTX Application Server Standard Edition V7.1 |
| WebOTX Application Server Standard V8.2 から V9.2 |
| WebOTX Application Server Standard-J Edition V7.1 から V8.1 |
| WebOTX Application Server Web Edition V7.1 から V8.1 |
| WebOTX Enterprise Service Bus V6.4 から V9.2 |
| WebOTX Portal V8.2 から V9.1 |
| WebOTX SIP Application Server Standard Edition V7.1 から V8.1 |
| WebSAM Application Navigator V3.1.0.x から V4.1.0.x |
| WebSAM JobCenter CL/Web R13.1 |
| WebSAM JobCenter CL/Web R13.2 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2015年03月10日] 掲載 [2015年06月03日] ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加 [2015年11月04日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日本電気 (NV15-016) を追加 [2015年11月25日] 影響を受けるシステム:ベンダ情報の更新に伴い内容を更新 [2015年12月25日] 影響を受けるシステム:ベンダ情報の更新に伴い内容を更新 [2015年01月29日] 影響を受けるシステム:ベンダ情報の更新に伴い内容を更新 [2016年06月23日] 影響を受けるシステム:ベンダ情報の更新に伴い内容を更新 [2016年08月02日] 影響を受けるシステム:ベンダ情報の更新に伴い内容を更新 [2017年03月09日] 影響を受けるシステム:ベンダ情報の更新に伴い内容を更新 |
Feb. 17, 2018, 10:37 a.m. |