【2014年11月19日更新】バラクーダネットワークス製品とCVE-2014-3566: SSL3.0の脆弱性について

セキュリティとストレージのリーディングカンパニー > ブログ > Backup > 【2014年11月19日更新】バラクーダネットワークス製品とCVE-2014-3566: SSL3.0の脆弱性について

【2014年11月19日更新】バラクーダネットワークス製品とCVE-2014-3566: SSL3.0の脆弱性について
バラクーダネットワークス(Barracuda Networks)

2014年10月20日

2014年10月14日、暗号化プロトコル「SSL3.0」における深刻な脆弱性が発見され(http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html)、弊社製品につきましても影響を受ける可能性があることが判明いたしましたので、ご案内申し上げます。

影響を受ける可能性があるバラクーダネットワークス製品は以下のとおりとなります。
  • Spam & Virus Firewall
  • Web Filter
  • Message Archiver
  • Load Balancer
  • Load Balancer ADC
  • Link Balancer
  • Web Application Firewall
  • NextG Firewall
  • SSL VPN
  • Firewall

※Barracuda Backupは本脆弱性に対して影響はございません。

  • 本脆弱性に対する対応について

(Barracuda NextG Firewallを除く対象製品)

各製品とも、脆弱性修正版ファームウェアを緊急リリース致します。修正版ファームウェアは製品毎に完成次第リリースされます。

本脆弱性に対する対応について
(Barracuda NextG Firewall)

対策パッチ(Hotfix)が既に提供されております。以下のサイトからHotfixをダウンロードして頂き、適用をお願いします。

Hotfix 648 - OpenSSL "Poodle" Vulnerability CVE-201-3566

対象バージョン:5.2.11

修正CVE番号:CVE-201-3566


ダウンロードサイト

https://copy.com/S8zibFHiIQHHYkh6/OpenSSL-648-5.2.11-76036.tgz?download=1

クライアント端末側での推奨対策について

HTTPSによる管理GUI接続、およびWeb FilterのSSLインスペクション機能等、各製品が提供するHTTPS/SSL接続を利用するクライアント端末で使用するブラウザやメールクライアントにつきましては、できる限りTLSをサポートするものを使用されることを推奨致します。

外部からのHTTPSサービスアクセスを提供する製品について

Load Balancer、Web Application Firewall、SSLVPNの各製品につきましては、HTTPSサービスを設定されている場合、SSLv3を無効にできるオプションがございますので、こちらを無効にすることにより、クライアントからサービスへの接続は安全となります。ただし、これは管理GUIへのHTTPS接続の脆弱性を無効化するものではございません。

修正済みファームウェア情報(2014年11月19日更新)

Spam & Virus Firewall PLUS

修正版ファームウェアv6.1.5.003がベータバージョンとしてリリースされております。リリースノートは以下のとおりです。

http://updates.cudasvc.com/cgi-bin/view_release_notes.cgi?type=firmware&version=6.1.5.003&platform=2
ご利用にあたっては、事前に現在利用中のファームウェアを最新版にアップデート頂く必要がございます。今回の脆弱性に対して、以下の対策が施すことが可能です。

  1. HTTPSでの管理GUI接続におけるSSLv3サポートの無効化
  2. SMTP over TLS/SSL設定で SSLv2/SSLv3 の有効/無効が選択可能*

*デフォルト設定は有効(はい)の設定となりますので、本脆弱性対策を行うには、無効(いいえ)に変更頂く必要がございます。ただし、本設定を行いますと、TLSをサポートしていないMTAからのメールは受信できなくなりますので、業務影響が発生する可能性がございます。

なお旧筐体の機器に対しては、修正ファームウェアの提供予定がございませんが、サポート接続上での設定変更による対策を提供できる見込みです。

Web Application Firewall
修正版ファームウェアv7.9.0.020がリリース済となっております。リリースノートは以下のとおりです。
http://updates.cudasvc.com/cgi-bin/view_release_notes.cgi?type=bwsware&platform=2&version=7.9.0.020
ご利用にあたっては、事前に現在利用中のファームウェアを最新版にアップデート頂く必要がございます。

Load Balancer

修正版ファームウェアv4.2.3.009がリリース済みとなっております。リリースノートは以下のとおりです (Load Balancer ADCには適用できません)。
http://updates.cudasvc.com/cgi-bin/view_release_notes.cgi?type=lbware&version=4.2.3.009&platform=2
ご利用にあたっては、事前に現在利用中のファームウェアを最新版にアップデート頂く必要がございます。

Link Balancer
修正版ファームウェアv2.5.2.002がベータバージョンとしてリリースされております。リリースノートは以下のとおりです。
http://updates.cudasvc.com/cgi-bin/view_release_notes.cgi?type=bwbware&platform=2&version=2.5.2.001
ご利用にあたっては、事前に現在利用中のファームウェアを最新版にアップデート頂く必要がございます。

Web Filter
修正版ファームウェアv8.1.0.002がリリース済みとなっております。リリースノートは以下のとおりです。
http://updates.cudasvc.com/cgi-bin/view_release_notes.cgi?type=spyware&version=8.1.0.002&platform=3
ご利用にあたっては、事前に現在利用中のファームウェアを最新版にアップデート頂く必要がございます。

Barracuda Firewall
修正版ファームウェアv6.5.3.002ががリリース済みとなっております。リリースノートは以下のとおりです。
https://techlib.barracuda.com/mapping/show/display.php?space=BFWv10&title=Barracuda+Firewall+Release+Notes+6.5.x
ご利用にあたっては、事前に現在利用中のファームウェアを最新版にアップデート頂く必要がございます。

本件に関するご質問につきましては、jpinfo@barracuda.comまでお問い合わせください。


コラム(バラクーダブログ)一覧へ

お役立ち情報満載の資料ダウンロード|機能詳細、導入構成、モデル一覧などお役立ち情報が満載です。

お問い合わせはこちら

03-5436-6235 受付時間 平日9:00〜17:00

Webからのお問い合わせはこちら