10月14日火曜日、Google Online Security Blogにおいて、SSLバージョン3.0の設計に脆弱性が存在することが発表されました。中間者攻撃でこの脆弱性を悪用すると、セキュアな接続の平文データを窃取することが可能になります。この脆弱性はコード名「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略)と呼ばれます。
SSL 3.0は古いプロトコルですが、現在も主要なブラウザやWebサイトで幅広く利用されており、新しいTLS暗号化がサポートされていないシステムで使用されています。この脆弱性の影響を受けるプロトコルは、SSL 3.0のみです。したがって、SSL 3.0を削除または無効化することにより、脆弱性を回避できます。
バラクーダネットワークスのソリューションは暗号化通信にTLSを使用していますが、オプションとしてSSL 3.0も利用できます。現在バラクーダネットワークスは、管理インターフェイスでSSL 3.0のサポートを無効にするファームウェアの開発を進めており、まもなくリリースされる予定です。Barracuda Spam Firewallバージョン6.1.5.003はこの問題にすでに対応済みであり、現在提供されています。
自動更新を行っていない場合は、新しいファームウェアを入手し、手動による更新をお願いします。Barracuda Web Application FirewallまたはBarracuda SSL VPNをお使いのお客様は、対象サービスでSSL 3.0を無効にしてください。
また、ご使用中のブラウザやメールクライアントを、TLSをサポートするバージョンにアップグレードすることもお勧めします。TLSは強力な暗号化方式であり、新しい製品では広く採用されています。
バラクーダネットワークスの製品とSSL 3.0について詳しくは、バラクーダネットワークスのサポート(support@barracuda.com)にお問い合わせください。
※本内容はBarracuda Product Blog 2014年10月16日POODLE exploit leaves SSL 3.0 communication vulnerable to attackを翻訳したものです。
クリスティーン・バリー(Christine Barry)(バラクーダネットワークス、チーフブロガー)
本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』11月18日付の記事の転載です。