[ページの先頭です]
[本文へジャンプする]
ここからサイト内共通メニューです。
サイト内共通メニューを読み飛ばす。
サイト内共通メニューここまで。
[ここから本文です]
[サイト内の現在位置を表示しています]

  Express5800シリーズ/iStorage NSシリーズにおける
    SSL 3.0の脆弱性(CVE-2014-3566)への対応について

掲載日:2014年11月20日

日頃は、ビジネス向けExpress5800シリーズ/iStorage NSシリーズ製品をご愛用いただき、誠にありがとうございます。

先般公開されたSSL 3.0に関する脆弱性(CVE-2014-3566)について、Express5800シリーズ および iStorage NSシリーズにおける影響ならびに対策についてご案内します。


脆弱性の内容について

ブラウザおよびJavaアプレットならびにJava Web Startから起動されるJavaアプリケーションなどからSSL 3.0プロトコルを利用しているとき、CVE-2014-3566 POODLE(Padding Oracle On Downgraded Legacy Encryption)と呼ばれる脆弱性を利用した攻撃により、暗号化された通信内容の一部を解読される可能性があります。


Express5800シリーズ/iStorage NSシリーズにおける影響について

本体装置およびオプション装置に添付しているアプリケーションに関しましては、以下の製品またはそれを管理するアプリケーションがSSL 3.0を利用しており、本脆弱性の影響を受ける可能性があります。
恐れ入りますが、下記の対処方法・回避方法にてご対応ください。

ⅰ) 対象製品(管理アプリケーション)

・EXPRESSSCOPEエンジン
・EXPRESSSCOPEエンジン2
・EXPRESSSCOPEエンジンSP 2
・EXPRESSSCOPEエンジン3
・EXPRESSSCOPEエンジンSP 3
・EXPRESSSCOPEエンジン3 ft
・ESMPRO/ServerManager Ver.5/6 (※ SSL通信に設定変更した場合のみ)
・エクスプレス通報サービス(HTTPS)
・SIGMABLADE 8G FC スイッチ(N8406-040/042)
・SIGMABLADE EMカード(N8405-019/019A/043)
・LTO集合型((N8160-82/83/87/88/89/92)
・ディスクアレイ装置(ST12300/ST12400)
・Express5800/ECOCENTER サーバモジュール(BMC)
・Express5800/E120a(BMC)
・Express5800/E120b-M(BMC)
・Express5800/HR120b-1(BMC)

ⅱ) 対処方法・回避方法

管理ツールを動作させるクライアント側でSSL3.0を無効化することで対処(回避)いただくか、ファイアウォール等によるネットワーク側での対策をご検討くださいますようお願いいたします。

【クライアント側でSSL3.0を無効化する方法】
ご使用のブラウザおよびJavaでSSL3.0が有効な場合はSSL3.0を無効化し、TLS1.0以降のプロトコルを有効にしてください。
手順の詳細は、以下の回避手順書をご覧ください。

 ・SSL3.0脆弱性問題回避設定手順書

なお、ディスクアレイ装置(ST12300/ST12400)の管理用ソフト StorView につきましては、製品側で対策することができません。恐れ入りますが、ファイアウォール等によるネットワーク側での対策をご検討くださいますようお願いいたします。

関連情報

- IPA 情報処理推進機構
    SSL 3.0 の脆弱性対策について(CVE-2014-3566)

- Japan Vulnerability Notes
    SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)

- National Vulnerability Database
    CVE-2014-3566 (POODLE)

- NEC ソフトウェア製品
    SSLv3.0の脆弱性(CVE-2014-3566)の影響について


[ページの終わりです]