重要情報 1. 脆弱性番号: - JVN#29238389 2. 脆弱性名称: - IPCOM の情報漏洩の脆弱性 3. 影響を受ける製品: - IPCOM EX2シリーズ V01L02NF0001 ~ V01L06NF0401 - IPCOM VE2シリーズ V01L04NF0001 ~ V01L06NF0112 4. 概要: - Fasas Technologies Inc. により提供される IPCOM の SSL アクセラレータ/SSL-VPN 機能に、観察可能なタイミングの違い(CWE-208)に起因する情報漏洩の脆弱性が存在します。 5. 影響: - 通信の内容を取得できる攻撃者によって、暗号化通信の一部が復号される可能性があります。 6. 対策: - ファームウェアの更新: - 開発者から提供された情報に基づき、ファームウェアを最新版に更新してください。 - ワークアラウンドの適用: - IPCOM の暗号化スイート設定において、RSA キー交換用の暗号スイートを無効化してください。 7. ベンダーの状況: - Fasas Technologies Inc.: 脆弱 - 最終更新日: 2024/08/30 - ベンダーの備考: Fasas Technologies Inc. のウェブサイト 8. 参考文献: - JPCERT/CC 補遺 - JPCERT/CC による脆弱性分析 - CVSS v3: 3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N - ベーススコア: 5.9 9. クレジット: - Fasas Technologies Inc. はこの脆弱性を JPCERT/CC に報告し、JVN を通じてユーザーに対策情報を通知しました。JPCERT/CC と Fasas Technologies Inc. は、情報セキュリティ早期警戒パートナーシップの下で協調して対応しました。 10. その他: - JPCERT アラート - JPCERT レポート - CERT アドバイザリ - CPNI アドバイザリ - TRnotes - CVE: CVE-2024-39921 - JVN iPedia: JVNDB-2024-000091