■概要
SSLv3.0の脆弱性が存在する暗号化プログラムが動作しています。
SSLv3.0が利用可能で、有効なサービスを利用している場合、攻撃者に
よって暗号化した通信内容を解読される可能性があります。
影響を受けるサービスや条件は、下記を参照ください。
SSLv3.0の不具合を回避するために下記対処を行うことをを推奨します。
■脆弱性の影響を受けるサービス
・Management Consoleサービス
SSLv3.0において、一般ユーザ、ドメイン管理者ユーザからログイン後に影響を
受ける可能性があります。
・Webサーバ(httpd)サービス
お客様にて公開されているコンテンツにおいて、SSLv3.0を有効にして利用されている
場合に、影響を受ける可能性があります。
・メールサーバ(popd/imapd) / メールサーバ(dovecot)
POPS/IMAPSを利用している場合に影響を受ける可能性があります。
・WEBMAIL-EXTサーバ(mail-httpd)
WEBMAIL-EXTへSSL暗号化プロトコルを利用し、アクセスされている場合に、
影響を受ける可能性があります。
■その他
GUARDIANWALL関連、ESMPRO関連 や UPS関連など 別途追加インストールする
ソフトウェアは該当する製品担当にお問い合わせください。
■脆弱性の影響を受けないサービス
以下のサービスは本脆弱性の影響を受けません。
- メールコントローラ(MWMCTL)
- メールサーバ(sendmail)
※STARTTLSを利用していますが、本脆弱性による攻撃は受けません。
- メールサーバ(postfix)
- WEBMAIL-Xサーバ(webmail-httpd))
- ネームサーバ(named)サーバ
- DHCPサーバ(dhcpd)
- ファイル転送(ftpd)
- UNIXファイル共有(nfsd)
- Windowsファイル共有(smbd)
- アドレス帳(ldap)
- 時刻調整(ntpd)
- ネットワーク管理エージェント(snmpd)
- サーバ管理エージェント(wbmcmsvd)
- システム監視(MW_MONITOR)
- サービス監視(chksvc)
- Trend Micro Hosted Email Security
- 二重化機能(二重化構成構築キット、二重化構成構築ライセンス)
CLUSTERPRO Xが動作していますが、本脆弱性の影響はありません。
(※ご利用の製品によっては提供していないサービスもあります)
■対応方法
関連情報のリンク『【Express5800/MW, InterSec/MW, InterSecVM/MW】
CVE-2014-3566脆弱性に対処したパッケージの個別提供』を参照して、
下記の対処を実施してください。
※今後更新される可能性もありますことに予めご留意ください。
(1)パッケージのアップデート
「【Express5800/MW, InterSec/MW, InterSecVM/MW】 CVE-2014-3566脆弱性に
対処したパッケージの個別提供 」にて、公開している個別提供モジュールにおいて、
下記、a.) 及び b.)の対処を行います。
a.)opensslのアップデート
TLSからSSLv3.0へのプロトコルダウングレード攻撃を抑止する措置
(TLS_FALLBACK_SCSV)等に対応したopensslにアップデートします。
メールクライアント/ブラウザ側のTLS_FALLBACK_SCSV対応については、
ご使用の製品にお問い合わせください。
※2014/11/28時点では、下記製品に対応したパッケージを個別提供しています。
・InterSecVM/MW V1.0以降
・Express5800/MW400g以降
・InterSec/MW400i
その他の製品についても順次公開します。
b.)imapd/popd/mail-httpd のアップデート
メールサーバ(imapd)サービス、メールサーバ(popd)サービス 及び
WEBMAIL-EXTサーバ(mail-httpd)サービスにおいて、SSLv3.0暗号プロトコルを
利用しない設定を可能にしました。
アップデート適用後「SSLv2、SSLv3暗号プロトコル停止手順書」を参照の上、
SSLv2、SSLv3暗号プロトコルを停止してください。
※InterSecVM/MW V3.0、InterSec/MW400iにつきましては、
「CVE-2014-3566対応アップデートモジュール rev.1」を適用済みの場合は、
「CVE-2014-3566対応アップデートモジュール rev.2」の適用は不要です。
「SSLv2、SSLv3暗号プロトコル停止手順書」の設定を行っていない場合は、
手順に従って設定を行ってください。
※上記以外の、下記製品につきましては、
「CVE-2014-3566対応アップデートモジュール rev.1」を適用済みの場合も、
「CVE-2014-3566対応アップデートモジュール rev.2」の適用を行い、
「SSLv2、SSLv3暗号プロトコル停止手順書」の手順に従って設定を行ってください。
・Express5800/MW300f
・Express5800/MW500f
・Express5800/MW300g
・Express5800/MW500g
・Express5800/MW400g
・Express5800/MW400h
・Express5800/R110d-1M(MW400h2)
・InterSecVM/MW V1.0
・InterSecVM/MW V2.0 for VMware
・InterSecVM/MW V2.0 for Hyper-V
・InterSecVM/MW V2.1 for Hyper-V
(2)SSLv3.0の無効化
以下のサービスについて、SSLv3.0プロトコルを無効に設定してください。
・ManagementConsoleサーバ(wbmchttpd)
・Webサーバ(httpd)
・WEBMAIL-Xサーバ(webmail-httpd)
・メールサーバ(dovecot)
以下のサービスについては、「【Express5800/MW, InterSec/MW, InterSecVM/MW】
CVE-2014-3566脆弱性に対処したパッケージの個別提供 」にて、公開している
個別提供モジュール適用後、SSLv3.0プロトコルの無効化設定を行ってください。
・メールサーバ(imapd)
・メールサーバ(popd)
・WEBMAIL-EXTサーバ(mail-httpd)
・以下のオプションソフトウェアは、脆弱性の影響を受けることはありません。
Express5800/MW 全メール保存ライセンス
Express5800/MW DNS/DHCP強化オプション
Express5800/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
Express5800/MW 二重化構成構築キット
InterSec/MW 全メール保存ライセンス
InterSec/MW DNS/DHCP強化オプション
InterSec/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
InterSec/MW 二重化構成構築キット
InterSecVM/MW 全メール保存ライセンス
InterSecVM/MW DNS/DHCP強化ライセンス
InterSecVM/MW WEBMAIL-X同時接続ライセンス
InterSecVM/MW 二重化構成構築ライセンス
・トレンドマイクロ社が提供するHES(Trend Micro Hosted Email Security)サービスに
つきましては、トレンドマイクロ社にお問い合わせください。