OneSpan製品のSSL 3.0 POODLEの脆弱性

アドバイザリーID vasco-sa-20141017-poodle

改訂番号 1.0

リリース日 2014年10月17日午後1時52分UTC + 1

最後の更新 2014年10月17日午後1時52分UTC + 1

概要

2014年10月14日、Googleのセキュリティ研究者がSecure Sockets Layer(SSL)プロトコルのバージョン3.0の脆弱性を公表しました。この脆弱性により、認証されていないリモートの攻撃者が、ブロック暗号の暗号化ブロックチェーン(CBC)モードの動作を使用して暗号化された通信の一部を復号化できます。この脆弱性は一般に、ダウングレードされたレガシー暗号化(POODLE)でのOracleの埋め込みと呼ばれます。

影響を受ける製品

次の製品は、POODLE脆弱性の影響を受けます。

  • IDENTIKEYサーバー3.3、3.4
  • IDENTIKEY認証サーバー3.4 SR1、3.5
  • IDENTIKEYフェデレーションサーバー1.3、1.4、1.5
  • IDENTIKEYアプライアンス3.2.4。{2,3}、3.4.5。{0,1}、3.4.6。{0,1}
  • IDENTIKEY仮想アプライアンス3.4.6。{0,1}
  • aXsGUARD Gatekeeper(すべてのバージョン)

説明文

Secure Sockets Layer(SSL)3.0は、IPv4およびIPv6ネットワーク上で交換されるデータの機密性と整合性を保護するために使用される暗号化プロトコルです。2014年10月14日、Googleのセキュリティ研究者がSSL 3.0プロトコルの脆弱性を公表しました。この脆弱性により、中間者として動作する認証されていないリモートの攻撃者が、ブロック暗号の暗号化ブロックチェーン(CBC)モードの動作を使用して暗号化された通信の一部を復号化できます。より具体的には、この脆弱性により、攻撃者は最大256回の試行で特定のバイトの暗号文を復号化できます。この脆弱性は、暗号化とメッセージ認証のシーケンス、およびSSL 3.0の埋め込みの種類が原因で発生します。

この脆弱性は一般に、ダウングレードされたレガシー暗号化(POODLE)でのOracleの埋め込みと呼ばれます。Transport Layer Security(TLS)プロトコルには適用されません。

この脆弱性には、Common Vulnerabilities and Exposures(CVE)ID CVE-2014-3566が割り当てられています。

重大度スコア

以下の表は、さまざまな脆弱性のCVSS 2.0脆弱性スコアを示しています。

CVSS基本スコア:2.6

アクセスベクター アクセスの複雑さ 認証 機密性への影響 完全性への影響 可用性への影響
通信網 高い 無し 部分的 無し 無し

 

CVSS時間的スコア:2.5
悪用可能性 修復レベル 信頼を報告する
機能的 利用できません 確認済み

 

製品の修正

OneSpanは次のパッチをリリースします。

  • IDENTIKEY Federation Server 1.4.4、1.5.3(2014年10月22日)

OneSpanは次の製品をリリースします。

  • aXsGUARD Gatekeeper 8.0.0、2014年10月23日以降

IDENTIKEY Federation Server 1.3を使用しているお客様は、IDENTIKEY Federation Server 1.4または1.5をアップグレードして、対応するパッチを適用することをお勧めします。

影響を受けるバージョンのIDENTIKEYサーバーまたはIDENTIKEY認証サーバーを使用しているお客様は、SSL 3.0がデフォルトで無効になっているIDENTIKEY認証サーバー3.6にアップグレードすることをお勧めします。または、SSL 3.0を手動で無効にし、TLS 1.xを有効にすることもできます。

影響を受けるバージョンのIDENTIKEYアプライアンスまたはIDENTIKEY仮想アプライアンスを使用しているお客様は、SSL 3.0がデフォルトで無効になっているIDENTIKEY(仮想)アプライアンス3.4.6.2以降にアップグレードすることをお勧めします。

影響を受けるバージョンのaXsGUARD Gatekeeperを使用しているお客様は、SSL 3.0を手動で無効にするか、SSL 8. 0がデフォルトで無効になっているバージョン8.0.0にアップグレードできます。

ロケーション

aXsGUARD Gatekeeper製品の場合:

OneSpanは、自動更新サービスを介してパッチを展開します。システムがこのサービスを介して更新を受け取ることを許可しないお客様は、パッチの入手方法についてOneSpanにお問い合わせください。

その他の製品:

保守契約を結んでいるお客様は、MyMaintenanceから固定製品リリースを入手できます。保守契約のないお客様は、最寄りの営業担当者にお問い合わせください。

参照

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566

https://www.openssl.org/~bodo/ssl-poodle.pdf

法的放棄声明

本書に記載されているすべての内容と情報は、表現または保証がなく、明示的または黙示的な保証なしに、「現状のまま」かつ「入手可能な」状態で提供されます。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含む、いかなる保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。

Copyright©2014 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。

One OneSpan製品のSSL 3.0 POODLEの脆弱性