SSL v3 の脆弱性とは?
Google のリサーチャー Bodo Moller氏、Thai Duong氏、および Krzysztof Kotowicz氏は、2014年10月14日(現地時間)、「Secure Sockets Layer(SSL)」のバージョン3.0 に存在する深刻な脆弱性についてのリサーチペーパーを公開しました。この脆弱性を利用すると、攻撃者はパディングオラクル攻撃によって暗号化通信の一部(主にクッキー情報)を解読することができます。この脆弱性は通称名POODLE(Padding Oracle On Downgraded Legacy Encryption)として知られ、CVE識別子CVE-2014-3566が付与されています。
影響を受ける製品は?
SSL 3.0 は、15年前にリリースされた旧式の暗号化プロトコルです。その後、「Transport Layer Security(TLS)」に引き継がれることになり、TLS の最新バージョンは、1.2 となります。しかし、SSL/TLSには、Webサーバとクライアント間の片方が最新バージョンに対応していない場合、古いバージョンのプロトコルで接続を試みるという振る舞いがあります。
トレンドマイクロのいくつかの製品は暗号化機能を使用するため、それらの製品の一部で、上記の状況に当てはまる場合に本脆弱性の影響を受ける可能性があります。本FAQでは影響を受ける製品とそれらについての推奨すべき対策について記します。
影響を受けるトレンド製品について
この脆弱性利用は、SSL 3.0 を無効にすることで回避することができます。Webサイトの管理者は、SSL 3.0 のサポートを無効にすることができます。ただし、SSL 3.0 の無効は、すべてのユーザにおいて実用ではないことをご留意ください。特にレガシーシステムで作業を必要とする場合がこれに該当します。
トレンドマイクロは現在SSL v3を使用する全ての製品について調査を行っており、影響が認められた製品バージョンでCritical Patchや回避策が利用可能なものを定期的にアップデートいたします。
| 製品名 | バージョン |
Critical Patch / 回避策
|
|---|---|---|
|
InterScan Messaging Security Suite
|
7.0, 7.1 Windows版
7.0, 7.1 Linux版
| SSL 3.0の無効化により回避可能 |
|
InterScan Messaging Security Virtual Appliance
| 8.2, 8.5 | SSL 3.0の無効化により回避可能 |
| InterScan Web Security Suite | 3.1 Windows版 / Linux版 | SSL 3.0の無効化により回避可能 |
| 5.6 Linux版 | SSL 3.0の無効化およびSP1 Patch1の適用 | |
|
InterScan Web Security Virtual Appliance
| 5.6 | SSL 3.0の無効化およびPatch4 適用 |
| InterScan for Microsoft Exchange | 全バージョン | SSL 3.0の無効化により回避可能 |
| InterScan WebManager | 8.0 | 次期Patchで対応予定 |
| 8.5 | SSL 3.0の無効化および Build 0876で対応 | |
|
Deep Discovery Inspector
| 3.5 | Critical Patch (Build 1496) 公開 (2014/11/27) |
| Trend Micro Deep Security | 8.0 | Critical Patch (Build 4145) 公開 (2015/1/7) |
| 9.0 | Critical Patch (Build 6818) 公開 (2015/1/7) | |
| Trend Micro Mobile Security | 7.x, 8.0 | Critical Patch (Build 2094) 公開 (2014/12/10) |
| 9.0 | Service Pack 2(Build 5184) 公開 (2015/1/22) | |
|
Trend Micro SafeSync for Enterprise
| 2.1 | Service Pack 1(build 1496) 公開 (2014/12/2) |
|
ウイルスバスター コーポレートエディション
| 全バージョン | SSL 3.0の無効化により回避可能 |
|
Trend Micro Smart Protection Server
| 2.6 | Patch 3(build 2101) 公開 (2015/4/21) |
| 3.0 | 次期Patchで対応予定 | |
|
Trend Micro Data Loss Prevention
| 5.5 | Build 1446 以降で対応済みです。サポートセンターへお問い合わせください。 |
|
ウイルスバスター ビジネスセキュリティサービス
| 全バージョン | 対応済み |
|
ServerProtect for Linux
| 3.0 | 次期Patchで対応予定 |
|
Trend Micro Control Manager
| 6.0 | SSL 3.0の無効化により回避可能 |
使用している製品がリストにない場合
サポートが終了していない製品であれば、トレンドマイクロは継続的に脆弱性の評価を行い、調査が完了次第上記リストに追加いたします。
サポート終了を迎えているバージョンにつきましては、Critical Patch 等の修正モジュールおよび調査結果を公開致しかねますことをご了承ください。
◆ 製品・検索エンジンのサポート終了案内
◆ 製品・検索エンジンのサポート終了案内