以下のバージョンにおいて管理画面との通信でSSL(HTTPS)が利用可能な場合は、本脆弱性の
影響を受ける可能性がございます。
・GUARDIANWALL 7.0以前
・WEBGUARDIAN 3.1以前
対象のバージョンを利用していない環境、および管理画面との通信でSSLが利用不可能な
環境につきましては特に影響ございません。
GUARDIANWALL 7.0以前 および WEBGUARDIAN 3.1以前をご利用中の環境にて管理画面への
SSL接続を利用している(※)場合は、以下の手順で輸出グレード暗号化(EXPORT)を無効化
いただくことで当該脆弱性の回避が可能となります。
※管理画面へのSSL接続が有効な場合は、管理サーバ上に以下のファイルが存在しており
ます。
/opt/Guardian/Admin/SSL
当該ファイルの存在の有無より、SSL通信の有効無効を判断いただければと存じます。
<回避策>
1. GUARDIANWALL管理サーバのLinuxコンソールにrootアカウントでログイン
2. 設定ファイル /opt/Guardian/Admin/httpd/conf/httpd.conf を編集
※編集前にユーザ・グループ・パーミッションを含めバックアップを
取得して下さい。
<VirtualHost _default_:8443> の配下にある、SSLCipherSuite の
"+EXP"を"!EXP"に変更して下さい。
<編集前>
===
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:
+eNULL
===
※178行目付近に記載がございます。
なお、上記では途中で改行しておりますが、実際には1行で記載されております。
<編集後>
===
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:!EXP:
+eNULL
===
※上記では長いため途中で改行しておりますが、実際に記載いただく場合は1行で
記載いただけますようお願い致します。
3. 管理サーバサービスを再起動
以下のコマンドを実行して下さい。
# /etc/init.d/Guardian.admin stop
# /etc/init.d/Guardian.admin start
4. 変更の確認
以下のコマンドを実行し、変更が反映されていることをご確認下さい。
# /opt/Guardian/local/bin/openssl s_client -connect <管理サーバーIP>:8443
-cipher EXPORT
※上記では長いため途中で改行しておりますが、実際にコマンドを実行いただく
場合は1行で入力いただけますようお願い致します。
正常に変更が反映されている場合は、上記コマンド実行時に以下のような
エラーが出力されます。
CONNECTED(00000003)
2348736:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake
failure:s23_clnt.c:762: