ビュー:
本 Q&A では、InterScan Messaging Security Sutie (以下、InterScan MSS)における、CVE-2014-3566 (POODLE 脆弱性)を使用した攻撃を回避するための方法を説明します。
 
本脆弱性を利用した攻撃を回避するには、SSL3.0を無効にします。
次の手順に従って操作を行ってください。
 

InterScan MSS7.1 Linux版

●管理コンソール

1. <InterScan MSSインストールディレクトリ>/imss/UI/adminUI/conf/server.xml をテキストエディタで開きます。
2.8445ポートについて記述しているセクションで、文字列 "sslProtocol" を探します。次のような文字列が見つかります。
<!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
<Connector port="8445" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true" SSLEnabled="true"
keystoreFile="sslkey/.keystore" clientAuth="false" sslProtocol="TLS" />
sslProtocol="TLS" の部分を、sslProtocols="TLSv1, TLSv1.1, TLSv1.2" へ変更します。
※ "sslProtocol" の最後に "s" を追加してください。
<!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
<Connector port="8445" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true" SSLEnabled="true"
keystoreFile="sslkey/.keystore" clientAuth="false" sslProtocols="TLSv1, TLSv1.1, TLSv1.2" />
3.変更を保存してファイルを閉じます。
 
4.次のコマンドを実行して、管理コンソールを再起動します。
# <InterScan MSSインストールディレクトリ>/imss/script/S99ADMINUI restart
 
●EUQコンソール
1.<InterScan MSSインストールディレクトリ>/imss/UI/euqUI/conf/EUQ.conf をテキストエディタで開きます。
 
2.文字列 SSLProtocol を探し、その文字列を "SSLProtocol All -SSLv2 -SSLv3 "に変更します。
存在しない場合は、ファイルの最終行に追加します。
SSLProtocol All -SSLv2 -SSLv3
3.変更を保存し、ファイルを閉じます。
 
4.<InterScan MSSインストールディレクトリ>/imss/UI/euqUI/conf/server.xml をテキストエディタで開きます。
 
5.8446ポートについて記述しているセクションで、文字列 sslProtocol="TLS" を探します。次のような文字列が見つかります。
    <!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
    <Connector port="8446" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true" SSLEnabled="true"
               keystoreFile="sslkey/.keystore" clientAuth="false" sslProtocol="TLS" />
 sslProtocol="TLS" の部分を、sslProtocols="TLSv1, TLSv1.1, TLSv1.2" へ変更します。
※ "sslProtocol" の最後に "s" を追加してください。
<!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
<Connector port="8446" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true" SSLEnabled="true"
keystoreFile="sslkey/.keystore" clientAuth="false" sslProtocols="TLSv1, TLSv1.1, TLSv1.2" />
6.次のコマンドを実行して、EUQコンソールを再起動します。
# <InterScan MSSインストールディレクトリ>/imss/script/S99EUQ restart
 

InterScan MSS7.1 & 7.5 Windows版

 
●管理コンソール
1.<InterScan MSSインストールディレクトリ>/imss/UI/adminUI/conf/server.xml をテキストエディタで開きます。
 
2.8445ポートについて記述しているセクションで、文字列 sslProtocols="TLS" が記述されている場所を探します。次のような文字列が見つかります。
    <Connector port="8445" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               keystoreFile="../tomcat/sslkey/.keystore" clientAuth="false" sslProtocol="TLS"/>
sslProtocol="TLS" の部分を、sslProtocols="TLSv1, TLSv1.1, TLSv1.2" へ変更します。
※ "sslProtocol" の最後に "s" を追加してください。
<Connector port="8445" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
keystoreFile="../tomcat/sslkey/.keystore" clientAuth="false" sslProtocols="TLSv1, TLSv1.1, TLSv1.2"/>
3.変更を保存してファイルを閉じます。
 
4."Trend Micro IMSS web console" サービスを再起動します。
 
 
●EUQコンソール
1.<InterScan MSSインストールディレクトリ>/imss/UI/euqUI/conf/EUQ.conf をテキストエディタで開きます。
 
2.文字列 SSLProtocol を探し、その文字列を "SSLProtocol All -SSLv2 -SSLv3"に変更します。
存在しない場合は、ファイルの最終行に追加します。
SSLProtocol All -SSLv2 -SSLv3
3. 変更を保存してファイルを閉じます。
 
4.<InterScan MSSインストールディレクトリ>/imss/UI/euqUI/conf/server.xml をテキストエディタで開きます。
 
5.8446ポートについて記述しているセクションで、文字列 sslProtocol="TLS" を探します。次のような文字列が見つかります。
    <!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
    <Connector port="8446" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               keystoreFile="../tomcat/sslkey/.keystore" clientAuth="false" sslProtocol="TLS" />
sslProtocol="TLS" の部分を、sslProtocols="TLSv1, TLSv1.1, TLSv1.2" へ変更します。
※ "sslProtocol" の最後に "s" を追加してください。
<!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
<Connector port="8446" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
keystoreFile="../tomcat/sslkey/.keystore" clientAuth="false" sslProtocols="TLSv1, TLSv1.1, TLSv1.2" />
 6."Trend Micro IMSS EUQ Load Balancer"サービス、"Trend Micro IMSS End User Quarantine Console"サービス を再起動します。
 
 
●InterScan MSS MTA
管理コンソールの [管理] - [TLS設定] - [IPアドレス/ドメインリスト]で SMTP TLS を有効にしている場合は、データベース上で、TLSプロトコルの追加設定が必要になります。
次の操作を行ってください。
 
1."imss" データベースに接続します。
 
2.tb_mta_config テーブルを開きます。
 
3.次のレコード行を探します。
section: SmtpServer
name: TLS.Server.Policyx
※ x は数字です。管理コンソールで設定したリストの数を表します。
 
例えば、管理コンソールで次のように2行設定していた場合、
 
データベースでは、value が "2" の "TLS.Server.PolicyCount" レコードと、name 属性がTLS.Server.Policy0, TLS.Server.Policy1 のレコードをそれぞれ確認することができます。
 
4.name 属性がTLS.Server.Policyx の各レコードの value値の最後に ";Protocol=TLSv1” を追加します。
 
5.Trend Micro IMSS SMTP サービスを再起動します。
 
 
【参考情報】
上記データベースアップデート手順について、「Microsoft SQL Server Management Studio Express」 のようなGUIツール、および osql.exe のようなCUIツールを使用した場合の操作例を、以下に参考として記述します。  
 
 
詳細すべて確認

●Microsoft SQL Server Management Studio Express を使用してデータベースをアップデートする場合

(1) ツールを使用して、SQLサーバにログオンします。
接続先は通常、"サーバ名 or IPアドレス\IMSS_SSEINSTANCE(インスタンス名)"です。
(2) imss データベースを開きます。
(3) 「テーブル」から、「dbo.tb_mta_config」を右クリックし、「テーブルを開く」を選択します。
(4) 次のレコードを探し, その value値を確認しておきます。
section: SmtpServer
name: TLS.Server.Policyx ("x" は数字です)
以下の例では、"TLS.Server.Policy0" と "TLS.Server.Policy1" レコードの行が存在していることが確認できます。
(5) 各"TLS.Server.Policyx" レコード行の value値の最後に、";Protocol=TLSv1" を追加してアップデートします。(セミコロン";"を忘れずに追加してください)
標準ツールバーから、「新しいクエリ」をクリックし、アップデート用SQL文を記述して選択し、「実行」をクリックします。
以下の例では、"TLS.Server.Policy0"レコード行の value値 "*.test.com:level=encrypt;cipher=medium" の最後に ";Protocol=TLSv1" を追加しています。
<SQL文例>
update tb_mta_config set value='*.test.com:level=encrypt;cipher=medium;Protocol=TLSv1' where name='TLS.Server.Policy0'
(6) 各"TLS.Server.Policyx" について、同様にアップデート(value値の最後に";Protocol=TLSv1" を追加)します。)
以下の例では、"TLS.Server.Policy1"レコード行の value値 "*:level=may;cipher=low" の最後に ";Protocol=TLSv1" を追加しています。
(7) 「テーブル」から、「dbo.tb_mta_config」を再度開き、レコードが正しく更新されたことを確認します。
(8) Trend Micro IMSS SMTP サービスを再起動します。

●osql.exe を使用してデータベースをアップデートする場合

(1) コマンドプロンプトで"osql.exe"を実行し、SQLサーバにログインします。
> osql -S "サーバ名 or IPアドレス\インスタンス名" -d imss -U sa
* インスタンス名は通常、"IMSS_SSEINSTANCE" となります。
(2) "tb_mta_config" テーブルの、"TLS.Server.PolicyCount" レコードの value値を確認します。("x"は数字です。)
1> select value from tb_mta_config where name='TLS.Server.PolicyCount'
2> go
---------------------------
x
(3) 例えば、"TLS.Server.PolicyCount" の 値が2だった場合、nameが "TLS.Server.Policy0" と "TLS.Server.Policy1" の行が存在します。
これをもとに、各 "TLS.Server.Policyx" レコード行の value値を確認しておきます。
以下のクエリ結果では、"*.test.com:level=encrypt;cipher=medium" と "*:level=may;cipher=low" がそれぞれ、value値を表しています。
1> select * from tb_mta_config where name='TLS.Server.Policy0'
2> go
---------------------------
SmtpServer TLS.Server.Policy0 *.test.com:level=encrypt;cipher=medium tsmtpd.ini
(1 row affected)
1> select * from tb_mta_config where name='TLS.Server.Policy1'
2> go
---------------------------
SmtpServer TLS.Server.Policy1 *:level=may;cipher=low tsmtpd.ini
(1 row affected)
(4) 各"TLS.Server.Policyx"レコードの value値の最後に ";Protocol=TLSv1" を追加してアップデートします。(セミコロン";"を忘れずに追加してください)
アップデート後は、正しく更新されたことを確認します。
以下の例では、"TLS.Server.Policy0"レコード行の value値 "*.test.com:level=encrypt;cipher=medium" の最後に ";Protocol=TLSv1" を追加しています。
1> update tb_mta_config set value='*.test.com:level=encrypt;cipher=medium;Protocol=TLSv1' where
name='TLS.Server.Policy0'
2> go
(1 row affected)
1> select * from tb_mta_config where name='TLS.Server.Policy0'
2> go
---------------------------
SmtpServer TLS.Server.Policy0 *.test.com:level=encrypt;cipher=medium;Protocol=TLSv1 tsmtpd.ini
(5) 他の "TLS.Server.Policyx"行についても同様にアップデートします。
アップデート後は、正しく更新されたことを確認します。
以下の例では、"TLS.Server.Policy1"レコード行の value値 "*:level=may;cipher=low" の最後に ";Protocol=TLSv1" を追加しています。
1> update tb_mta_config set value='*:level=may;cipher=low;Protocol=TLSv1' where name='TLS.Server.Policy1'
2> go
(1 row affected)

1> select * from tb_mta_config where name='TLS.Server.Policy1'
2> go

---------------------------
SmtpServer TLS.Server.Policy1 *:level=may;cipher=low;Protocol=TLSv1 tsmtpd.ini
(1 row affected)

 

(6) Trend Micro IMSS SMTP サービスを再起動します。
キーワード: InterScan Messaging Security Suite