下記バージョンについて、GUARDIAN 管理画面へのSSL接続を有効にした状態でクラ
イアントからSSL通信を行った場合のみ当該脆弱性の影響を受ける可能性がござい
ます。
・GUARDIANWALL V7
・GUARDIANWALL V6
・GUARDIANWALL V5
・WEBGUARDIAN V3
なお、WEBGUARDIANにおけるプロキシ機能自体には影響ございません。
GUARDIANWALL V6以降、および WEBGUARDIAN V3 にて管理画面への接続にSSLを
利用している(※)場合は、以下を実施いただくことで当該脆弱性の回避が可能です。
※管理画面へのSSL接続が有効である場合は、管理サーバ上に以下のファイルが存在
しております。
/opt/Guardian/Admin/SSL
当該ファイルの存在の有無より、SSL通信の有効無効を判断いただければと存じます。
<回避策>
1. root アカウントでGUARDIAN管理サーバのLinuxコンソールにログイン
2. /opt/Guardian/Admin/httpd/conf/httpd.conf を編集
<編集前>
===
<VirtualHost _default_:8443>
DocumentRoot "/opt/Guardian/Admin/htdocs"
CustomLog /opt/Guardian/Admin/logs/ssl_access_log common
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:+eNULL
SSLCertificateFile /opt/Guardian/Admin/httpd/conf/ssl.crt/server.crt
===
<編集後>
===
<VirtualHost _default_:8443>
DocumentRoot "/opt/Guardian/Admin/htdocs"
CustomLog /opt/Guardian/Admin/logs/ssl_access_log common
SSLEngine on
SSLProtocol ALL -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:+eNULL
SSLCertificateFile /opt/Guardian/Admin/httpd/conf/ssl.crt/server.crt
===
3. GUARDIANWALL V7.4 以降で一時保留メール管理画面へのログイン機能を、
WEBGUARDIAN V3.4以降での独自認証機能を利用している場合は、
/opt/Guardian/Admin/public/conf/httpd.conf を編集
※一時保留メール管理画面へのログイン機能、および独自認証機能の利用
の有無はGUARDIAN管理画面の以下から確認可能です。
<一時保留メール管理画面へのログイン機能>
[メール] - [システム管理] - [情報検査機能設定] - [拡張]
一時保留メール管理画面へのログイン機能が有効である場合は、当該
画面の「ログイン機能」にて「オン」が選択されております。
<独自認証機能>
[ウェブ] - [システム管理] - [ユーザ認証設定]
独自認証機能を利用している場合は、当該画面の「プロキシー認証」の
項目にて「独自認証」が選択されております。
<編集前>
===
<VirtualHost _default_:4443>
DocumentRoot "/opt/Guardian/Admin/public/htdocs"
CustomLog /opt/Guardian/Admin/public/logs/ssl_access_log common
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:+eNULL
SSLCertificateFile /opt/Guardian/Admin/httpd/conf/ssl.crt/server.crt
===
<編集後>
===
<VirtualHost _default_:4443>
DocumentRoot "/opt/Guardian/Admin/public/htdocs"
CustomLog /opt/Guardian/Admin/public/logs/ssl_access_log common
SSLEngine on
SSLProtocol ALL -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:+eNULL
SSLCertificateFile /opt/Guardian/Admin/httpd/conf/ssl.crt/server.crt
===
4. サービスの再起動
以下のコマンドを実行して下さい。
# /etc/init.d/Guardian.admin stop
# /etc/init.d/Guardian.admin start
また、項番3. の /opt/Guardian/Admin/public/conf/httpd.conf の編集を
行った場合は、併せて以下のコマンドも実行して下さい。
# /etc/init.d/Guardian.pub stop
# /etc/init.d/Guardian.pub start
また、GUARDIANWALL V5 につきましては回避策が上記の方法とは異なりますので、
GUARDIANWALL V5 をご利用中の場合はお問い合わせいただけますようお願い致します。
なお、本脆弱性についてはサーバだけではなく、サーバおよびクライアント両方
での対策を実施することが推奨されております。
恐れ入りますが上記回避策だけではなく、クライアントのブラウザ側の設定に
ついてSSLv3.0による接続を無効化するよう変更を行うこともご検討いただけれ
ばと存じます。