【活用ガイド】

JVNDB-2015-002764

TLS プロトコルにおける暗号アルゴリズムのダウングレード攻撃を実行される脆弱性

概要

TLS プロトコルは、DHE_EXPORT 暗号スイートがサーバで有効になっており、クライアントではなっていない場合に、DHE_EXPORT が選択されたことをクライアントに適切に通知しないため、暗号アルゴリズムのダウングレード攻撃を実行される脆弱性が存在します。

本脆弱性は、"Logjam" と呼ばれています。
CVSS による深刻度 (CVSS とは?)

基本値: 4.3 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし

[参考] CVSS v3 による深刻度
基本値: 3.7 (注意) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): 低
  • 可用性への影響(A): なし
影響を受けるシステム


Google
  • Google Chrome
Mozilla Foundation
  • Mozilla Firefox
Opera Software ASA
  • Opera
アップル
  • Safari
  • Apple Mac OS X 10.10 から 10.10.3
  • iOS 8.4 未満 (iPad 2 以降)
  • iOS 8.4 未満 (iPhone 4s 以降)
  • iOS 8.4 未満 (iPod touch 第 5 世代以降)
オラクル
  • JDK 6 Update 95
  • JDK 7 Update 80
  • JDK 8 Update 45
  • JRE 6 Update 95
  • JRE 7 Update 80
  • JRE 8 Update 45
  • Oracle Communications Applications の Oracle Communications Messaging Server 7.0.5
  • Oracle Communications Applications の Oracle Communications Messaging Server 8.0
  • Oracle GlassFish Server 2.1.1
  • Oracle iPlanet Web Proxy Server 4.0
  • Oracle iPlanet Web Server 7.0
  • Oracle Java SE Embedded 7 Update 75
  • Oracle Java SE Embedded 8 Update 33
  • Oracle JRockit R28.3.6
  • Oracle OpenSSO 3.0-0.7
  • Oracle Traffic Director 11.1.1.7.0
  • Oracle Traffic Director 11.1.1.9.0
  • Oracle Virtualization の Oracle Secure Global Desktop 4.63
  • Oracle Virtualization の Oracle Secure Global Desktop 4.71
  • Oracle Virtualization の Oracle Secure Global Desktop 5.2
  • XCP 2271 未満 (Fujitsu M10-1/M10-4/M10-4S サーバ)
  • XCP 1121 未満 (SPARC Enterprise M3000/M4000/M5000/M8000/M9000 サーバ)
  • SPARC Enterprise M3000 サーバ
  • SPARC Enterprise M4000 サーバ
  • SPARC Enterprise M5000 サーバ
  • SPARC Enterprise M8000 サーバ
  • SPARC Enterprise M9000 サーバ
マイクロソフト
  • Microsoft Internet Explorer
日本電気
  • CapsSuite V3.0 から V4.0 のマネージャコンポーネント
  • EnterpriseDirectoryServer Ver7.1 以前
  • SecureWare/PKIアプリケーション開発キット Ver3.0
  • SecureWare/PKIアプリケーション開発キット Ver3.01
  • SecureWare/PKIアプリケーション開発キット Ver3.02
  • SecureWare/PKIアプリケーション開発キット Ver3.1
  • WebOTX Enterprise Edition V4.2 から V6.5
  • WebOTX Standard Edition V4.2 から V6.5
  • WebOTX Standard-J Edition V4.1 から V6.5
  • WebOTX UDDI Registry V1.1 から V7.1
  • WebOTX Web Edition V4.1 から V6.5
  • WebOTX Application Server Enterprise Edition V7.1
  • WebOTX Application Server Enterprise V8.2 から V9.2
  • WebOTX Application Server Express V8.2 から V9.2
  • WebOTX Application Server Foundation V8.2 から V8.5
  • WebOTX Application Server Standard Edition V7.1
  • WebOTX Application Server Standard V8.2 から V9.2
  • WebOTX Application Server Standard-J Edition V7.1 から V8.1
  • WebOTX Application Server Web Edition V7.1 から V8.1
  • WebOTX Enterprise Service Bus V6.4 から V9.2
  • WebOTX Portal V8.2 から V9.1
  • WebOTX SIP Application Server Standard Edition V7.1 から V8.1
  • WebSAM Application Navigator Agent Ver3.3 から Ver4.1
  • WebSAM Application Navigator Manager Ver3.2.2 から Ver4.1
  • WebSAM Application Navigator Probe Option Ver3.1.0.x から Ver4.1.0.x
  • WebSAM MCOperations Ver3.6.2 から Ver4.2
  • WebSAM SystemManager Ver5.5.2 から Ver6.2.1
  • Express5800 /SG シリーズ InterSecVM/SG v1.2,v3.0,v3.1,v4.0
  • Express5800 /SG シリーズ SG3600LM/LG/LJ v6.1,v6.2,v7.0,v7.1,v8.0
  • Express5800 /SG シリーズ UNIVERGE SG3000LG/LJ
  • IP38X/N500 全てのリビジョン
  • iStorage NV7400/NV5400/NV3400シリーズ
  • iStorage NV7500/NV5500/NV3500シリーズ
  • iStorage HSシリーズ 全バージョン
  • IX2000シリーズ
  • IX3000シリーズ
日立
  • Cosminexus Developer's Kit for Java(TM)
  • Hitachi Application Server
  • Hitachi Application Server for Developers
  • Hitachi Developer's Kit for Java
  • uCosminexus Application Server -R
  • uCosminexus Application Server Express
  • uCosminexus Application Server Light
  • uCosminexus Application Server Standard-R
  • uCosminexus Application Server
  • uCosminexus Application Server Enterprise
  • uCosminexus Application Server Smart Edition
  • uCosminexus Application Server Standard
  • uCosminexus Client
  • uCosminexus Client for Plug-in
  • uCosminexus Developer 01
  • uCosminexus Developer Professional
  • uCosminexus Developer Professional for Plug-in
  • uCosminexus Developer
  • uCosminexus Developer Light
  • uCosminexus Developer Standard
  • uCosminexus Operator
  • uCosminexus Operator for Service Platform
  • uCosminexus Primary Server Base
  • uCosminexus Server Standard-R
  • uCosminexus Service Architect
  • uCosminexus Service Platform
  • uCosminexus Service Platform - Messaging
  • UPS管理ソフトウエア PowerChute Business Edition
  • UPS管理ソフトウエア PowerChute Network Shutdown
  • HA8000シリーズ 
  • HA8500シリーズ

本脆弱性の影響を受ける製品の詳細については、各ベンダの提供する情報をご確認ください。
想定される影響

中間者攻撃 (man-in-the-middle attack) により、ClientHello の DHE を DHE_EXPORT に書き換えられ、その後、ServerHello の DHE_EXPORT を DHE に書き換えられることで、暗号アルゴリズムのダウングレード攻撃を実行される可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報

Canonical Debian Google IBM Mozilla Foundation Novell OpenSSL Project openSUSE project Opera Software ASA SolarWinds アップル オラクル ヒューレット・パッカード ヒューレット・パッカード・エンタープライズ マイクロソフト 日本電気
  • NEC製品セキュリティ情報 : NV15-010
日立
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 暗号の問題(CWE-310) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2015-4000
参考情報

  1. JVN : JVNVU#91445763
  2. National Vulnerability Database (NVD) : CVE-2015-4000
  3. 関連文書 : The Logjam Attack
  4. 関連文書 : Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice
更新履歴

[2015年05月22日]
  掲載
[2015年07月07日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アップル (HT204941) を追加
  ベンダ情報:アップル (HT204942) を追加
  ベンダ情報:アップル (APPLE-SA-2015-06-30-1 iOS 8.4) を追加
  ベンダ情報:アップル (APPLE-SA-2015-06-30-2 OS X Yosemite v10.10.4 and Security Update 2015-005) を追加
[2015年07月29日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
  ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - July 2015) を追加
  ベンダ情報:日立 (HS15-026) を追加
  参考情報:IPA 重要なセキュリティ情報 (Oracle Java の脆弱性対策について(CVE-2015-2590等)) を追加
  参考情報:JPCERT 注意喚起 (JPCERT-AT-2015-0022) を追加
[2015年08月06日]
  参考情報:JVN (JVNVU#91445763) を追加
[2015年09月04日]
  ベンダ情報:IBM (1962455) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX03388) を追加
[2015年10月23日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
[2015年10月28日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日本電気 (NV15-010) を追加
[2015年11月05日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2015年12月10日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2015年12月16日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (Logjamと呼ばれるTLSプロトコルの脆弱性による日立アドバンストサーバHA8000への影響について) を追加
  ベンダ情報:日立 (Logjamと呼ばれるTLSプロトコルの脆弱性によるHA8500サーバへの影響について) を追加
  ベンダ情報:日立 (Logjamと呼ばれるTLSプロトコルの脆弱性による無停電電源装置(UPS)への影響について) を追加
[2016年01月27日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2016年01月28日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
  ベンダ情報:オラクル (January 2016 Critical Patch Update Released) を追加
[2016年02月01日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2016年02月12日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (HS16-004) を追加
[2016年03月07日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2016年05月31日]
  CVSS による深刻度:内容を更新
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update CVSS V2 Risk Matrices - April 2016) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (April 2016 Critical Patch Update Released) を追加
[2016年06月23日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2016年07月27日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2016年08月24日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2016年09月30日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:Canonical (USN-2673-1) を追加
  ベンダ情報:Debian (DSA-3324) を追加
  ベンダ情報:Mozilla Foundation (MFSA2015-70) を追加
  ベンダ情報:Mozilla Foundation (NSS 3.19.1 release notes) を追加
  ベンダ情報:Mozilla Foundation (Bug 1138554) を追加
  ベンダ情報:OpenSSL Project (DHE man-in-the-middle protection (Logjam)) を追加
  ベンダ情報:SolarWinds (SRM Profiler Module 6.2.3 Release Notes (CVE-2015-4000: "Logjam" TLS vulnerabilities)) を追加
  ベンダ情報:openSUSE project (SUSE-SU-2015:1268) を追加
  ベンダ情報:openSUSE project (SUSE-SU-2015:1269) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03345) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03351) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03401) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03362) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03405) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03404) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03402) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03361) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03411) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX03512) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBMU03356) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03407) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX03363) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03399) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03546) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBST03586) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBGN03533) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBGN03626) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBGN03373) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBHF03510) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBUX03435) を追加