脆弱性の概要
本脆弱性はSSL/TLS通信を行うクライアントソフト側の脆弱性となり、この脆弱性を利用する事でSSL/TLS通信の際、強度の弱い暗号を使用させる事ができ、強度の弱い暗号が攻撃者によって解読される事によって通信の盗聴、改ざんが行われる危険性があります。
本脆弱性は以下の脆弱性IDが割り振られています。
- CVE-2015-0204
- CVE-2015-1637
本脆弱性は以下のソフトウエアに影響があります。
- CVE-2015-0204
OpenSSL 0.9.8zd未満
OpenSSL 1.0.1p未満の1.0.0バージョン
OpenSSL 1.0.1k未満の1.0.1バージョン - CVE-2015-1637
※CVE-2015-1637はWindowsOS側での対策が必要となります。
Windows Server 2003
Windows Server 2008(R2含む)
Windows Server 2012(R2含む)
Windows Vista
Windows 7
Windows 8
Windows 8.1
Windows RT / RT 8.1
Windows Server 2008(サーバコア)
Windows Server 2012(サーバコア)
詳細はこちら
本脆弱性の影響を受けない製品一覧
製品名 | バージョン |
---|---|
Trend Micro Mobile Security
|
9.0,8.0
|
Trend Micro Smart Protection Server
|
全バージョン
|
Trend Micro Deep Security
|
全バージョン
|
Trend Micro Security (for Mac)
|
2.x
|
Trend Micro SSL
|
-
|
ウイルスバスター ビジネスセキュリティサービス
|
-
|
Trend Micro Portable Security
|
全バージョン
|
本脆弱性の影響を受ける製品一覧
製品名 | バージョン | 影響度 | Critical Patch / 回避策 |
---|---|---|---|
ウイルスバスター コーポレートエディション
|
10.5/10.6/11.0
|
低
| 次期バージョンでバージョンアップ予定 |
Trend Micro Control Manager
|
6.0
|
低
| - |
ServerProtect for Linux
|
3.0
|
低
| - |
InterScan for Microsoft Exchange
|
10.2/11.0
|
低
| 次期バージョンでバージョンアップ予定 |
InterScan Messaging Security Suite
|
7.1/7.5
|
低
| 次期以降のバージョンでバージョンアップ予定 |
InterScan Messaging Security Virtual Appliance
|
8.2
|
低
| 次期以降のバージョンでバージョンアップ予定 |
InterScan Web Security Suite Windows版
|
3.1/5.6
|
低
| Patchまたは次期バージョンで修正予定 |
InterScan Web Security Suite Linux版
|
3.1/5.6
|
低
| Patchまたは次期バージョンで修正予定 |
InterScan Web Security Virtual Appliance
|
5.6/6.5
|
低
| Patchまたは次期バージョンで修正予定 |
Trend Micro SafeSync for Enterprise
|
2.1
|
低
| 修正モジュール (HotFix) にて対応 (モジュールの提供は個別対応となるため、弊社サポートセンターへお問い合わせください) |
Trend Micro Data Loss Prevention
|
5.5
|
低
| Critical Patch 1448 で対応済み |
Trend Micro Safe Lock
|
2.0
|
低
| Patch1 で対応済み |
ウイルスバスター ビジネスセキュリティ
|
7.0/9.0
|
低
| 次期バージョンで修正予定 |
使用している製品がリストにない場合
サポートが終了していない製品であれば、トレンドマイクロは継続的に脆弱性の評価を行い、調査が完了次第上記リストに追加いたします。
◆ 製品・検索エンジンのサポート終了案内
製品での対応
Trend Micro Deep Security / Trend Micro 脆弱性対策オプションでの対応
以下の侵入防御 (DPI) ルールで本脆弱性に対応しています。
- CVE-2015-0204
ルール : 1006485 - Openssl RSA Downgrade Vulnerability (CVE-2015-0204)
- CVE-2015-1637
ルール : 1006561 - Identified Usage Of TLS/SSL EXPORT Cipher Suite in Respons
ルール : 1006562 - Identified Usage Of TLS/SSL EXPORT Cipher Suite In Request