掲載日:2014年11月20日
日頃は、ビジネス向けExpress5800シリーズ/iStorage NSシリーズ製品をご愛用いただき、誠にありがとうございます。
先般公開されたSSL 3.0に関する脆弱性(CVE-2014-3566)について、Express5800シリーズ および iStorage NSシリーズにおける影響ならびに対策についてご案内します。
脆弱性の内容について
ブラウザおよびJavaアプレットならびにJava Web Startから起動されるJavaアプリケーションなどからSSL 3.0プロトコルを利用しているとき、CVE-2014-3566 POODLE(Padding Oracle On Downgraded Legacy Encryption)と呼ばれる脆弱性を利用した攻撃により、暗号化された通信内容の一部を解読される可能性があります。
Express5800シリーズ/iStorage NSシリーズにおける影響について
本体装置およびオプション装置に添付しているアプリケーションに関しましては、以下の製品またはそれを管理するアプリケーションがSSL 3.0を利用しており、本脆弱性の影響を受ける可能性があります。
恐れ入りますが、下記の対処方法・回避方法にてご対応ください。
- 対象製品(管理アプリケーション)
- EXPRESSSCOPEエンジン
- EXPRESSSCOPEエンジン2
- EXPRESSSCOPEエンジンSP 2
- EXPRESSSCOPEエンジン3
- EXPRESSSCOPEエンジンSP 3
- EXPRESSSCOPEエンジン3 ft3
- ESMPRO/ServerManager Ver.5/6 (※ SSL通信に設定変更した場合のみ)
- エクスプレス通報サービス(HTTPS)
- SIGMABLADE 8G FC スイッチ(N8406-040/042)
- SIGMABLADE EMカード(N8405-019/019A/043)
- LTO集合型((N8160-82/83/87/88/89/92)
- ディスクアレイ装置(ST12300/ST12400)
- Express5800/ECOCENTER サーバモジュール(BMC)
- Express5800/E120a(BMC)
- Express5800/E120b-M(BMC)
- Express5800/HR120b-1(BMC)
- 対処方法・回避方法
管理ツールを動作させるクライアント側でSSL3.0を無効化することで対処(回避)いただくか、ファイアウォール等によるネットワーク側での対策をご検討くださいますようお願いいたします。
【クライアント側でSSL3.0を無効化する方法】
ご使用のブラウザおよびJavaでSSL3.0が有効な場合はSSL3.0を無効化し、TLS1.0以降のプロトコルを有効にしてください。
手順の詳細は、以下の回避手順書をご覧ください。
なお、ディスクアレイ装置(ST12300/ST12400)の管理用ソフト StorView につきましては、製品側で対策することができません。恐れ入りますが、ファイアウォール等によるネットワーク側での対策をご検討くださいますようお願いいたします。
関連情報