KEMP社製品 CVE-2014-3566 セキュリティ情報
2015/07/10
KEMP Technologies社からセキュリティ情報が発表されました。
アナウンスされたサイトは以下のURLです。
https://support.kemptechnologies.com/hc/en-us/articles/202021309-The-POODLE-vulnerability-CVE-2014-3566
以下は、文面の要訳です。
CVE-2014-3566の脆弱性はSSL v3で発見され、POODLEと命名されました。この脆弱性は、SSL v3プロトコルによる送信を使うことで、マン・イン・ミドル攻撃をおこなうアタッカーに対して、セキュアな接続で平文解読を可能にし、暗号化の機能を弱めます。これは、SSL v3のフロー設計の問題であり、KEMPのプロトコル実装や他のベンダーの実装に起因する問題ではありません。
改善:
KEMPは、バーチャルサービスの設定でSSL v3をディセーブルにしTLS 1.xを使用することを推奨します。すべてのお客様は、バージョン7.1-20b以降のバージョンにアップグレイドしてください。このバージョンは、POODLEの対策とそれ以前のセキュリティ問題の対策のための機能を含んでいます。
注意:
アプリケーションの配信に影響がないことを確かめるため、この変更前にサーバとクライアントアプリケーションがSSL v3を使っていないか確認してください。
現バージョンの7.1-22bにおいて、WUIとRESTful APIは、SSL/TLSによるアクセスでSSL v3のサポートをしませんので、POODLEの脆弱性はありません。
KEMP社が推奨する設定は、以下のurlを参照してください。
https://support.kemptechnologies.com/hc/en-us/articles/202021309-The-POODLE-vulnerability-CVE-2014-3566
KEMPはなぜこの設定を推奨するか。
- ・最新のブラウザソフトウェアは、よりセキュアなプロトコルが標準です(TLS1.xなど)。しかし、アタッカーは多くのブラウザーによって、SSL v3に状態を変えることが可能です。このため、SSL v3をディセーブルにします。
- ・もし、クライアントがTLS 1.xをサポートせず、サーバとクライアントが共にSSL v3を使う必要がある場合、CBCベースのCipherの適応をディセーブルにしてください。LoadMasterではRC4-SHAを選択することが、CBCを使わずにSSL v3とTLS 1.xをサポートする手段です。このオプションの選択は、RC4 Cipherに関連した問題をはらんでいます。
- ・7.1-12以前のバージョンでは常にRC4を使うようになっています。このため、CBCベースのCipher は排除され、POODLEに対応できます。
関連する情報は以下を参照してください。
https://www.openssl.org/~bodo/ssl-poodle.pdf
http://googleonlinesecurity.blogspot.nl/2014/10/this-poodle-bites-exploiting-ssl-30.html