お客様各位

平素は格別のお引き立てを賜り、誠にありがとうございます。

SSL v3.0 をサポートする製品は、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能性があるとの報道に際し、 弊社取扱対象製品と対策をお知らせいたします。
（確認が取れたものから、順次掲載/更新いたします。）

* <<<JPCERT/CC WEEKLY REPORT 2014-10-22 >>> 　SSL v3.0 プロトコルに暗号化データを解読される脆弱性

* JVNVU#98283300 SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)

問題

SSL 3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。
脆弱性が悪用された場合、暗号通信の内容の一部が漏えいする可能性があります。
（出典：IPA「SSL 3.0 の脆弱性対策について(CVE-2014-3566)」（https://www.ipa.go.jp/security/announce/20141017-ssl.html））

対応状況 （最終更新日：平成27年1月29日）

製品名	該当製品における対策
PRTG	できる限り速やかに、最新版のPRTGへのバージョンアップをお勧めいたします（バージョンアップには保守契約が必要です。）
SpamTitan	最新のVer 6.06でも該当します。 近日中に対応する新バージョンを提供する予定です。
EventSentry	EventSentryのWebレポートでは、通常、SSL（もしくはTLS）を使用する設定になっていないので通常では影響はありません。 もし、Webレポートの設定でSSLを使用する設定にしている場合は、TLSを使用するように設定して運用することを推奨します。 また、SSLv3.0にフォールバックしないように有効なプロトコルの指定を「TLSv1.2、TLSv1.1、TLSv1」にすることを推奨します。
Spector 360	本脆弱性に係る影響はありません。
Endpoint Protector 4	（サーバ、クライアント、オンラインサービス）既に対応済です。
Nagios XI	現在の最新バージョンでも該当します。 次期バージョンで対応する予定です。 新バージョンが提供されるまでは 使用しているプラグインにtlsまたはSSLバージョンを強制するフラグを適用してください。 ご不明な点がございましたらカスタマーポータルよりお問い合わせください。
Shell Control Box (SCB)	現在の最新バージョンでも該当します。 すでに修正版は完成しており、次のメンテナンスリリース時に公開予定です。
syslog-ng Store Box (SSB)	現在の最新バージョンでも該当します。 すでに修正版は完成しており、次のメンテナンスリリース時に公開予定です。
ObserveIT	本脆弱性に係る影響はありません。
Sawmill	Windows以外のOSでは、SawmillはOpenSSLライブラリと動的にリンクしているため、本件当該OSでSawmillが動作している場合はOSパッチの対応が必要です。 クライアント側の対応（SSL 3.0を無効にしたWebブラウザからのHTTPS接続不可の解消、回避策は当該脆弱性対応済みのGoogle Chromeの使用）は最新バージョンSawmill 8.7.5で実施済みです。
Kiwi製品(Sylog Server, Log Viewer, CatTools)	お客様の環境に合わせて、以下のような対応をしてください。 ・　ご使用のWeb ServerでSSL3.0を無効にする、または SSL3.0のCBC モードを無効にする。 ・　FIPSマネージャを使用して、SolarWinds社製品のFIPSを有効にする。 (システム環境がFIPSに準拠している必要があります。例えばSNMP v3のMD5,DES暗号化は FIPSでサポートされていません) ・　ご使用のブラウザの設定でSSLを無効にする。 ・　今後のOpenSSLの修正プログラムを適用する。 ※TLS 1.0は、同様のPadding関連の脆弱性（CVE-2011-389）に該当するため、 TLS1.1以降を使用することを推奨します。
Orion製品（NPM, NCM, NTA, UDT, Toolset）	同上

【本件に関するお問合せ】

ご不明な点がございましたら、下記までお問合せください。

（既に上記製品をご利用中のお客様）　弊社カスタマーポータルよりお問合せください。

（上記以外のお客様）お問合せフォームよりお問合せください。