ビジネスサポートポータルアカウントでログイン
アラート/アドバイザリ:CVE-2014-3566 (POODLE 脆弱性)による攻撃を防ぐ方法  

アラート/アドバイザリ:CVE-2014-3566 (POODLE 脆弱性)による攻撃を防ぐ方法

    • 更新日:
    • 16 Sep 2019
    • 製品/バージョン:
    • InterScan Messaging Security Suite 7.1
    • InterScan Messaging Security Suite 7.5
    • OS:
    • Linux すべて
    • Windows すべて
概要
SSL 3.0 [RFC6101]は、旧式で安全ではないプロトコルです。
実質的には、後継のTLS 1.0 [RFC2246]、 TLS 1.1 [RFC4346]、TLS 1.2 [RFC5246]に置きかえられていますが、多くのTLS実装では、旧式システムとの相互運用のためにSSL3.0との下位互換を残しています。
 
通信確立時のプロトコルハンドシェイクでは、TLS/SSLのどのバージョンを使用するかのネゴシエーションが行われ、通常は、サーバ、クライアント間で共通の、最も新しいバージョンが使用されます。
しかしながら、サーバとクライアント両方がTLSをサポートしていたとしても、ネゴシエーション時にSSL3.0が利用可能なプロトコルして提示されることは、この脆弱性にまだ関連があります。
サーバ側の旧システムとの相互使用等により、多くのクライアントがプロトコルのダウングレードの動作を行う可能性があるためです。
 
詳細
Public
本 Q&A では、InterScan Messaging Security Sutie (以下、InterScan MSS)における、CVE-2014-3566 (POODLE 脆弱性)を使用した攻撃を回避するための方法を説明します。
 
本脆弱性を利用した攻撃を回避するには、SSL3.0を無効にします。
次の手順に従って操作を行ってください。
 

InterScan MSS7.1 Linux版

●管理コンソール

1. <InterScan MSSインストールディレクトリ>/imss/UI/adminUI/conf/server.xml をテキストエディタで開きます。
2.8445ポートについて記述しているセクションで、文字列 "sslProtocol" を探します。次のような文字列が見つかります。
<!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
<Connector port="8445" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true" SSLEnabled="true"
keystoreFile="sslkey/.keystore" clientAuth="false" sslProtocol="TLS" />
sslProtocol="TLS" の部分を、sslProtocols="TLSv1, TLSv1.1, TLSv1.2" へ変更します。
※ "sslProtocol" の最後に "s" を追加してください。
<!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
<Connector port="8445" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true" SSLEnabled="true"
keystoreFile="sslkey/.keystore" clientAuth="false" sslProtocols="TLSv1, TLSv1.1, TLSv1.2" />
3.変更を保存してファイルを閉じます。
 
4.次のコマンドを実行して、管理コンソールを再起動します。
# <InterScan MSSインストールディレクトリ>/imss/script/S99ADMINUI restart
 
●EUQコンソール
1.<InterScan MSSインストールディレクトリ>/imss/UI/euqUI/conf/EUQ.conf をテキストエディタで開きます。
 
2.文字列 SSLProtocol を探し、その文字列を "SSLProtocol All -SSLv2 -SSLv3 "に変更します。
存在しない場合は、ファイルの最終行に追加します。
SSLProtocol All -SSLv2 -SSLv3
3.変更を保存し、ファイルを閉じます。
 
4.<InterScan MSSインストールディレクトリ>/imss/UI/euqUI/conf/server.xml をテキストエディタで開きます。
 
5.8446ポートについて記述しているセクションで、文字列 sslProtocol="TLS" を探します。次のような文字列が見つかります。
    <!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
    <Connector port="8446" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true" SSLEnabled="true"
               keystoreFile="sslkey/.keystore" clientAuth="false" sslProtocol="TLS" />
 sslProtocol="TLS" の部分を、sslProtocols="TLSv1, TLSv1.1, TLSv1.2" へ変更します。
※ "sslProtocol" の最後に "s" を追加してください。
<!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
<Connector port="8446" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true" SSLEnabled="true"
keystoreFile="sslkey/.keystore" clientAuth="false" sslProtocols="TLSv1, TLSv1.1, TLSv1.2" />
6.次のコマンドを実行して、EUQコンソールを再起動します。
# <InterScan MSSインストールディレクトリ>/imss/script/S99EUQ restart
 

InterScan MSS7.1 & 7.5 Windows版

 
●管理コンソール
1.<InterScan MSSインストールディレクトリ>/imss/UI/adminUI/conf/server.xml をテキストエディタで開きます。
 
2.8445ポートについて記述しているセクションで、文字列 sslProtocols="TLS" が記述されている場所を探します。次のような文字列が見つかります。
    <Connector port="8445" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               keystoreFile="../tomcat/sslkey/.keystore" clientAuth="false" sslProtocol="TLS"/>
sslProtocol="TLS" の部分を、sslProtocols="TLSv1, TLSv1.1, TLSv1.2" へ変更します。
※ "sslProtocol" の最後に "s" を追加してください。
<Connector port="8445" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
keystoreFile="../tomcat/sslkey/.keystore" clientAuth="false" sslProtocols="TLSv1, TLSv1.1, TLSv1.2"/>
3.変更を保存してファイルを閉じます。
 
4."Trend Micro IMSS web console" サービスを再起動します。
 
 
●EUQコンソール
1.<InterScan MSSインストールディレクトリ>/imss/UI/euqUI/conf/EUQ.conf をテキストエディタで開きます。
 
2.文字列 SSLProtocol を探し、その文字列を "SSLProtocol All -SSLv2 -SSLv3"に変更します。
存在しない場合は、ファイルの最終行に追加します。
SSLProtocol All -SSLv2 -SSLv3
3. 変更を保存してファイルを閉じます。
 
4.<InterScan MSSインストールディレクトリ>/imss/UI/euqUI/conf/server.xml をテキストエディタで開きます。
 
5.8446ポートについて記述しているセクションで、文字列 sslProtocol="TLS" を探します。次のような文字列が見つかります。
    <!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
    <Connector port="8446" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               keystoreFile="../tomcat/sslkey/.keystore" clientAuth="false" sslProtocol="TLS" />
sslProtocol="TLS" の部分を、sslProtocols="TLSv1, TLSv1.1, TLSv1.2" へ変更します。
※ "sslProtocol" の最後に "s" を追加してください。
<!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
<Connector port="8446" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
keystoreFile="../tomcat/sslkey/.keystore" clientAuth="false" sslProtocols="TLSv1, TLSv1.1, TLSv1.2" />
 6."Trend Micro IMSS EUQ Load Balancer"サービス、"Trend Micro IMSS End User Quarantine Console"サービス を再起動します。
 
 
●InterScan MSS MTA
管理コンソールの [管理] - [TLS設定] - [IPアドレス/ドメインリスト]で SMTP TLS を有効にしている場合は、データベース上で、TLSプロトコルの追加設定が必要になります。
次の操作を行ってください。
 
1."imss" データベースに接続します。
 
2.tb_mta_config テーブルを開きます。
 
3.次のレコード行を探します。
section: SmtpServer
name: TLS.Server.Policyx
※ x は数字です。管理コンソールで設定したリストの数を表します。
 
例えば、管理コンソールで次のように2行設定していた場合、
 
データベースでは、value が "2" の "TLS.Server.PolicyCount" レコードと、name 属性がTLS.Server.Policy0, TLS.Server.Policy1 のレコードをそれぞれ確認することができます。
 
4.name 属性がTLS.Server.Policyx の各レコードの value値の最後に ";Protocol=TLSv1” を追加します。
 
5.Trend Micro IMSS SMTP サービスを再起動します。
 
 


【参考情報】
上記データベースアップデート手順について、「Microsoft SQL Server Management Studio Express」 のようなGUIツール、および osql.exe のようなCUIツールを使用した場合の操作例を、以下に参考として記述します。  
 
 
詳細すべて確認

●Microsoft SQL Server Management Studio Express を使用してデータベースをアップデートする場合

(1) ツールを使用して、SQLサーバにログオンします。
接続先は通常、"サーバ名 or IPアドレス\IMSS_SSEINSTANCE(インスタンス名)"です。
(2) imss データベースを開きます。
(3) 「テーブル」から、「dbo.tb_mta_config」を右クリックし、「テーブルを開く」を選択します。
(4) 次のレコードを探し, その value値を確認しておきます。
section: SmtpServer
name: TLS.Server.Policyx ("x" は数字です)
以下の例では、"TLS.Server.Policy0" と "TLS.Server.Policy1" レコードの行が存在していることが確認できます。
(5) 各"TLS.Server.Policyx" レコード行の value値の最後に、";Protocol=TLSv1" を追加してアップデートします。(セミコロン";"を忘れずに追加してください)
標準ツールバーから、「新しいクエリ」をクリックし、アップデート用SQL文を記述して選択し、「実行」をクリックします。
以下の例では、"TLS.Server.Policy0"レコード行の value値 "*.test.com:level=encrypt;cipher=medium" の最後に ";Protocol=TLSv1" を追加しています。
<SQL文例>
update tb_mta_config set value='*.test.com:level=encrypt;cipher=medium;Protocol=TLSv1' where name='TLS.Server.Policy0'
(6) 各"TLS.Server.Policyx" について、同様にアップデート(value値の最後に";Protocol=TLSv1" を追加)します。)
以下の例では、"TLS.Server.Policy1"レコード行の value値 "*:level=may;cipher=low" の最後に ";Protocol=TLSv1" を追加しています。
(7) 「テーブル」から、「dbo.tb_mta_config」を再度開き、レコードが正しく更新されたことを確認します。
(8) Trend Micro IMSS SMTP サービスを再起動します。

●osql.exe を使用してデータベースをアップデートする場合

(1) コマンドプロンプトで"osql.exe"を実行し、SQLサーバにログインします。
> osql -S "サーバ名 or IPアドレス\インスタンス名" -d imss -U sa
* インスタンス名は通常、"IMSS_SSEINSTANCE" となります。
(2) "tb_mta_config" テーブルの、"TLS.Server.PolicyCount" レコードの value値を確認します。("x"は数字です。)
1> select value from tb_mta_config where name='TLS.Server.PolicyCount'
2> go
---------------------------
x
(3) 例えば、"TLS.Server.PolicyCount" の 値が2だった場合、nameが "TLS.Server.Policy0" と "TLS.Server.Policy1" の行が存在します。
これをもとに、各 "TLS.Server.Policyx" レコード行の value値を確認しておきます。
以下のクエリ結果では、"*.test.com:level=encrypt;cipher=medium" と "*:level=may;cipher=low" がそれぞれ、value値を表しています。
1> select * from tb_mta_config where name='TLS.Server.Policy0'
2> go
---------------------------
SmtpServer TLS.Server.Policy0 *.test.com:level=encrypt;cipher=medium tsmtpd.ini
(1 row affected)
1> select * from tb_mta_config where name='TLS.Server.Policy1'
2> go
---------------------------
SmtpServer TLS.Server.Policy1 *:level=may;cipher=low tsmtpd.ini
(1 row affected)
(4) 各"TLS.Server.Policyx"レコードの value値の最後に ";Protocol=TLSv1" を追加してアップデートします。(セミコロン";"を忘れずに追加してください)
アップデート後は、正しく更新されたことを確認します。
以下の例では、"TLS.Server.Policy0"レコード行の value値 "*.test.com:level=encrypt;cipher=medium" の最後に ";Protocol=TLSv1" を追加しています。
1> update tb_mta_config set value='*.test.com:level=encrypt;cipher=medium;Protocol=TLSv1' where
name='TLS.Server.Policy0'
2> go
(1 row affected)
1> select * from tb_mta_config where name='TLS.Server.Policy0'
2> go
---------------------------
SmtpServer TLS.Server.Policy0 *.test.com:level=encrypt;cipher=medium;Protocol=TLSv1 tsmtpd.ini
(5) 他の "TLS.Server.Policyx"行についても同様にアップデートします。
アップデート後は、正しく更新されたことを確認します。
以下の例では、"TLS.Server.Policy1"レコード行の value値 "*:level=may;cipher=low" の最後に ";Protocol=TLSv1" を追加しています。
1> update tb_mta_config set value='*:level=may;cipher=low;Protocol=TLSv1' where name='TLS.Server.Policy1'
2> go
(1 row affected)

1> select * from tb_mta_config where name='TLS.Server.Policy1'
2> go

---------------------------
SmtpServer TLS.Server.Policy1 *:level=may;cipher=low;Protocol=TLSv1 tsmtpd.ini
(1 row affected)

 

(6) Trend Micro IMSS SMTP サービスを再起動します。
Premium
Internal
評価:
カテゴリ:
操作方法/設定
Solution Id:
1105824
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド