URLをクリップボードにコピーしました
FAQ_URL:https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=3229
|
最終更新日 2017/10/12 |
FAQ_ID:3229 |
Business >
i-FILTER Ver.9/Ver.10/Reporter >
その他
Business >
D-SPA >
その他
|
「i-FILTER」Ver.7~Ver.9 「D-SPA」Ver.2~Ver.3 『脆弱性』CVE-2015-0204(FREAK)の製品影響はありますか
|
|
対応バージョン:すべてのバージョン
脆弱性 (CVE-2015-0204) 「FREAK」について弊社対応を記載します。
「FREAK」では、OpenSSLの脆弱性を突かれたMITM(中間者攻撃)を受けることにより、
暗号化強度の弱い鍵を受け入れて しまう可能性があります。
ただし、MITMについては成立難易度が高く実現が難しいため、弊社としては緊急度は低いと考えています。
【発生条件】
1. 接続元・接続先の通信間に中間者の介入が可能である(MITM)
2. 接続先サーバーが輸出グレードの暗号「RSA Export Suites(以下、EXP)」をサポートをサポートしている
3. 接続元クライアントが(CVE-2015-0204)の影響を受けるソフトウェアを使用している
弊社製品(「i-FILTER」「D-SPA」)ではEXPの暗号形式が有効になっているため、SSL Adapterオプションを使用した場合、
かつ上記条件を満たす環境でご利用した際に、本脆弱性の影響を受ける可能性があります。
【影響範囲】
本脆弱性により影響を受ける製品は、以下のとおりです。
・「i-FILTER Proxy Server」 Ver.7.x
・「i-FILTER Proxy Server」 Ver.8.x
・「i-FILTER Proxy Server」 Ver.9.x
・「D-SPA」 Ver.2.x
・「D-SPA」 Ver.3.x
【対応方法】
■ 弊社製品による対応
弊社製品で使用している OpenSSLライブラリを以下のバージョンに変更する必要があります。
・OpenSSL 0.9.8zd 以上の 0.9.8
・OpenSSL 1.0.0p 以上の 1.0.0
・OpenSSL 1.0.1k 以上の 1.0.1
ご利用の製品で使用しているOpenSSLライブラリの バージョンおよび対応方法をご確認ください。
◯ 「i-FILTER Proxy Server」Linux 版
【Ver.9.x】
「i-FILTER」にOpenSSLのライブラリを取り込んで使用しています。
「Ver.9.20R04」にて対応済となります。
【Ver.8.5x】
「i-FILTER」にOpenSSLのライブラリを取り込んで使用しています。
「Ver.8.70R01」にて対応済となります。
【Ver.8.0x】
OS にインストールされたOpenSSLのライブラリを使用しています。
OSライブラリのアップデートをご検討ください。
ライブラリのアップデートができない場合は、プログラム改修予定の最新版へのアップデートをご検討ください。
【Ver.7.x】
OS にインストールされたOpenSSLのライブラリを使用しています。
OSライブラリのアップデートをご検討ください。
ライブラリのアップデートができない場合は、プログラム改修予定の最新版へのアップデートをご検討ください。
◯「i-FILTER Proxy Server」Windows 版
【Ver.9.x】
「i-FILTER」にOpenSSLのライブラリを取り込んで使用しています。
「Ver.9.20R04」にて対応済となります。
【Ver.8.5x】
「i-FILTER」にOpenSSLのライブラリを取り込んで使用しています。
「Ver.8.70R01」にて対応済となります。
【Ver.8.0x】
「i-FILTER」インストーラーに同梱OpenSSLのライブラリを使用しています。
脆弱性により影響を受けるバージョンを使用しているため、プログラムの改修が必要です。
現在、製品側での対応予定はないため、プログラム改修予定の最新版へのアップデートをご検討ください。
【Ver.7.x】
Ver.9へのバージョンアップをご検討ください。
○ 「D-SPA」
【Ver.3.x】
OS にインストールされたOpenSSLのライブラリを使用しています。
「Ver.3.00R02」にて対応済となります。
【Ver.2.x】
OS にインストールされたOpenSSLのライブラリを使用しています。
脆弱性により影響を受けるバージョンを使用しています。
現在、弊社で対応スケジュールを検討しています。
■ ご利用環境による対応
「i-FILTER」や「D-SPA」以外にもクライアント、 サーバー側で対策をすることで、脆弱性への影響を軽減できます。
【クライアント側の対応】
ご利用中のブラウザーに脆弱性がある場合には、ブラウザーに対して パッチ適用をご検討ください。
【Webサーバー側の対応】
お客様環境のWebサーバーに脆弱性があるW場合には、Webサーバーに対してパッチの適用をご検討ください。
参考URL
▽OpenSSL の s3_clnt.c の ssl3_get_key_exchange 関数におけるRSA-to-EXPORT_RSA ダウングレード攻撃を実行される脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001009.html
|