2016/02/16

Dimension™ 2.0.1 Update 1 で OpenSSL の脆弱性を修正

2016年 2月 16日 COREY NACHREINER 著

OpenSSL で新しく見つかった脆弱性について、今月初めのデイリーセキュリティバイトでご紹介しました。手短に言うと、脆弱性が存在する OpenSSL サーバーで、ある特別な方法で Diffie-Hellman 鍵のネゴシエーションが構成されていると、「鍵復元」攻撃に対して脆弱であるというものです。特別に仕組まれた方法で脆弱性が存在するサーバーに多数の接続を送信することで、この脆弱性が悪用され、サーバーの秘密鍵が復元されて通信が復号化される可能性があります。

ウォッチガードの多くの製品では、この脆弱性を悪用するのに必要な方法で OpenSSL が構成されていないために、この脆弱性を悪用されることはありませんでしたが、WatchGuard System Manager(WSM)とDimension™ の両方で使用されているログコレクターについては、この脆弱性が悪用される恐れがありました。

Dimension 2.0.1 Update 1 では、この OpenSSL の脆弱性(CVE-2016-0701)が修正されました。Dimension™、特に、ログサービスを外部に提供されている場合は、この Dimension™ アップデートを速やかにダウンロードし、インストールしていただくよう、お願い申し上げます。このアップデートでの修正内容とインストール方法の詳細については、リリースノートでご確認ください。

また、この脆弱性の詳細と影響を受けるウォッチガード製品については、この脆弱性について説明されているナレッジベースの記事をご覧ください。

Corey Nachreiner, CISSP@SecAdept