■概要
OpenSSL 0.9.8 およびそれ以前においてSSL_OP_MSIE_SSLV2_RSA_PADDINGオプションを使用した場合にSSL 2.0へのバージョン・ロールバックを許可してしまう問題を抱えています。これに伴い、リモートの攻撃者によって、通信経路上の改ざんが実施され必要な強度を持っていない弱い暗号化通信方式を強制可能となる脆弱性が存在します。
本脆弱性を悪用することにより盗聴や改ざん等の MITM (Man In The Middle) 攻撃を受ける可能性があります。
トレンドマイクロでは、OpenSSL 0.9.8 およびそれ以前を使用している次の製品においてバージョン・ロールバックの脆弱性の影響の有無について確認しています。
|
プロダクト名 |
本脆弱性の影響有無 |
|
ServerProtect for Linux |
影響あり |
|
InterScan Messaging Security Suite |
影響あり |
|
InterScan Web Security Suite |
影響あり |
|
InterScan WebManager |
影響なし |
|
Trend Micro Control Manager |
影響なし |
|
Trend Micro Network VirusWall 1200/2500 |
影響なし |
■トレンドマイクロ製品による対策
トレンドマイクロでは、本現象に対応した修正プログラム(Security Patch)を用意しています。
次のファイルは「最新版ダウンロード」からもダウンロードできます。
|
ServerProtect for Linux 1.25 Security Patch | ||||
|
プロダクト |
バージョン |
サイズ |
日付 |
ユーザ・ガイド |
|
|
1.25 |
553 KB (566,746 bytes) |
2006/01/18 | |
|
ServerProtect for Linux 1.3 Security Patch | ||||
|
プロダクト |
バージョン |
サイズ |
日付 |
ユーザ・ガイド |
|
|
1.3 |
553 KB (566,746 bytes) |
2006/01/18 | |
|
InterScan Web Security Suite 1.1 Solaris版 Patch 4 | ||||
|
プロダクト |
バージョン |
サイズ |
日付 |
ユーザ・ガイド |
|
|
1.1 |
4.4MB (4,563,521 bytes) |
2006/01/18 | |
|
InterScan Web Security Suite 1.02 Linux版 Patch 4 | ||||
|
プロダクト |
バージョン |
サイズ |
日付 |
ユーザ・ガイド |
|
|
1.02 |
4.35 MB (4,563,521 bytes) |
2006/01/18 | |
|
InterScan Messaging Security Suite 5.11 Solaris版 Patch 4 | ||||
|
プロダクト |
バージョン |
サイズ |
日付 |
ユーザ・ガイド |
|
|
5.11 |
6.06 MB (6,361,526 bytes) |
2006/01/18 | |
|
InterScan Messaging Security Suite 5.11 Linux版 Patch 4 | ||||
|
プロダクト |
バージョン |
サイズ |
日付 |
ユーザ・ガイド |
|
|
5.11 |
5.98 MB (6,277,033 bytes) |
2006/01/18 | |
■寄せられる質問
1. Q. トレンドマイクロ製品ではどのような第3機関によって開発された製品を同梱しているのでしょうか。トレンドマイクロ製品の内部にて使用している第3機関によって開発されたソフトウェア(サードパーティソフトウェア)のリストを教えてください。
A. トレンドマイクロ製品には、The Apache Software Foundation (http://www.apache.org/) をはじめとする第3機関によって開発されたソフトウェア(サードパーティソフトウェア)を含んでいるものがあります。次の製品Q&Aにてそのリストを公開しております。
製品Q&A:「トレンドマイクロ製品の内部にて使用している第3機関によって開発されたソフトウェア(サードパーティソフトウェア)リスト」
■参考情報
JVN:JVN#23632449 OpenSSL におけるバージョン・ロールバックの脆弱性
IPA:JVN#23632449:「OpenSSL」におけるバージョン・ロールバックの脆弱性
CVE:CVE-2005-2969
更新履歴
|
2006/01/19 |
17:15 |
InterScan Web Security Suite 1.1 Solaris版 Patch 4を追記いたしました。 |
|
2006/01/23 |
19:16 |
InterScan Messaging Security Suite 5.11 Solaris/Linux版 Patch 4を追記いたしました。 |