10.1.1ホットフィックスでFirewareユーザーのSSL問題を修正

危険度：　高

日付：2008年5月11日


【概要】

ウォッチガードのFireware 10.1およびそれ以前のバージョンでの「Mobile VPN with SSL」の実装は深刻な攻撃に対し脆弱です。攻撃者がこの脆弱性の悪用に成功するとFireboxの状況に関する情報開示を誘発しますが、Firewareのホットフィックス(10.1.1)は、この問題を修正します。ウォッチガードでは「Mobile VPN with SSL」をご利用のユーザーに、このホットフィックスを至急インストールすることを強くお勧めしています。


【FAQ】

この脆弱性はウォッチガードの他のSSL対応製品にも影響しますか？

いいえ。ウォッチガードの「SSL 500」「SSL 1000」「Firebox SSL Coreゲートウェイ」、Firebox X Edge製品の「Mobile VPN with SSL」などにおいて、この脆弱性の影響はありません。

この脆弱性はどういったものですか？

これは情報開示の脆弱性です。これが乱用されると、攻撃者は通常アクセスすることができないFireboxの情報を獲得できるようになります。この脆弱性はFireware 10.1 およびそれ以前のバージョンを使用しているFirebox CoreおよびPeakのディバイスに見られます。Firebox Edgeシリーズは対象外です。

この脆弱性の重大性は？

かなり深刻です。悪用が成功した場合、Fireboxの状態に関する重要な情報が攻撃者に譲渡される可能性があります。この脆弱性経由で攻撃者がFireboxをコントロールできるようになることはありませんが、攻撃者はそのFireboxがどのように作用するかといった多くの情報を入手できるようになります。

ホットフィックスをインストールする他に回避策はありますか？

はい。パッチをインストールするまでは「Mobile VPN with SSL」を無効にすることをお勧めします。ウォッチガードのその他のMobile VPNオプション（IPSecやPPTP）は、この脆弱性の影響を受けていないので「Mobile VPN with SSL」の代替として適切となる場合もあります。

ホットフィックスはどこで入手することができますか？

ホットフィックスはウォッチガードのウェブサイトにあるソフトウェア・ダウンロード・センターで入手することができます。

10.1.1バージョンは10.1の代替バージョンですか？

はい。10.1.1は10.1の代替バージョンです。このため10.1バージョンはソフトウェア・ダウンロード・センターから削除しました。

この脆弱性はどのようにして発見されたのですか？

この脆弱性はChristophe Vandeplas氏により発見され、ウォッチガードに内密に報告されました。弊社製品をご利用のお客様に安全性を提供するために協力して下さったVandeplas氏には、この場をお借りして感謝申し上げます。

この脆弱性が一般において悪用されている兆しはありますか？

いいえ。現時点ではこの脆弱性が一般で悪用されているような兆しは見られません。

他にも質問がある場合、ウォッチガード社のどこへ連絡すればよいですか？

この問題に関するその他の質問やウォッチガード製品のセキュリティ問題について懸念がある場合は、次の連絡先までお問合せ下さい。


Steve Fallin
Director, Rapid Response Team
WatchGuard Technologies

ウェブサイト：http://www.watchguard.com
Eメール：　　steve.fallin@watchguard.com



このアラートはSteve Fallin（スティーブ・ファリン）によって調査され書かれた記事です。