2015年3月5日 – 勧告: SSL/TLS の脆弱性「FREAK」について
対象バージョン: SSL/TLSをサポートするすべてのバージョン
対象プラットフォーム: すべて
米国時間3月3日に新しいSSL/TLSの脆弱性「FREAK攻撃」が公表されました。
これはデータ暗号化を行う暗号キーの長さを旧米国輸出規制レベルの短いものにしてしまうことにより、暗号強度を低下させてしまうという問題です。
詳細は以下のサイトでご確認いただけます。
(英語)
https://freakattack.com/
(英語)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
SSL/TLSをサポートする弊社製品のデフォルトの動作ではこの脆弱性の影響を受けません。
暗号スイートのデフォルト・フラグには !EXP が設定されており、キーの長さを短くできないようにしています。ただし、システム管理者がこのデフォルト設定を上書きすることは可能です。
例えば Cache バージョン2015.1のデフォルト・フラグは以下の通りです。
TLSv1:SSLv3:!ADH:!LOW:!EXP:@STRENGTH
使用されているSSL/TLS構成において上記 !EXP の指定が含まれているか確認し、もし削除されていた場合は追加することを推奨します。また、オペレーティング・システムのベンダーから本脆弱性に対する適切なパッチを入手されるように推奨します。
本件についてご質問等ございましたら インターシステムズジャパン・カスタマサポートセンターまでお知らせください。