バラクーダネットワークス製品とCVE-2014-3566: SSL3.0の脆弱性について

2014年10月14日、暗号化プロトコル「SSL3.0」における深刻な脆弱性が発見され、弊社製品につきましても影響を受ける可能性があることが判明いたしましたので、ご案内申し上げます。

影響を受ける可能性があるバラクーダネットワークス製品は以下のとおりとなります。

Spam & Virus Firewall
Web Filter
Message Archiver
Load Balancer
Load Balancer ADC
Link Balancer
Web Application Firewall
NextG Firewall
SSL VPN
Firewall

※Barracuda Backupは本脆弱性に対して影響はございません。

本脆弱性に対する対応について（Barracuda NextG Firewallを除く対象製品）

各製品とも、脆弱性修正版ファームウェアを緊急リリース致します。修正版ファームウェアは製品毎に完成次第リリースされます。

本脆弱性に対する対応について（Barracuda NextG Firewall）

対策パッチ（Hotfix）が既に提供されております。以下のサイトからHotfixをダウンロードして頂き、適用をお願いします。

Hotfix 646 - OpenSSL "Poodle" Vulnerability CVE-2014-3566
対象バージョン：5.4.4以上
修正CVE番号：CVE-2014-3566 ダウンロードサイト
https://copy.com/K87CSa1CTBBHwjck/OpenSSL-646-5.4.4-76022.tgz?download=1

Hotfix 648 - OpenSSL "Poodle" Vulnerability CVE-201-3566
対象バージョン：5.2.11
修正CVE番号：CVE-201-3566
ダウンロードサイト
https://copy.com/S8zibFHiIQHHYkh6/OpenSSL-648-5.2.11-76036.tgz?download=1

クライアント端末側での推奨対策について

HTTPSによる管理GUI接続、およびWeb FilterのSSLインスペクション機能等、各製品が提供するHTTPS/SSL接続を利用するクライアント端末で使用するブラウザやメールクライアントにつきましては、できる限りTLSをサポートするものを使用されることを推奨致します。

外部からのHTTPSサービスアクセスを提供する製品について

Load Balancer、Web Application Firewall、SSLVPNの各製品につきましては、HTTPSサービスを設定されている場合、SSLv3を無効にできるオプションがございますので、こちらを無効にすることにより、クライアントからサービスへの接続は安全となります。ただし、これは管理GUIへのHTTPS接続の脆弱性を無効化するものではございません。

修正済みファームウェア情報（2014年10月20日更新）

Message Archiver
修正バージョン4.0.0.013が既にリリース済みとなっております。リリースノートは以下のとおりです。
http://update01.barracuda.com/cgi-bin/view_release_notes.cgi?type=maware&platform=2&version=4.0.0.013

Spam & Virus Firewall PLUS
修正版ファームウェアをリリース予定です。今回の脆弱性に対して、以下対策が施すことが可能です。

1. HTTPSでの管理GUI接続におけるSSLv3サポートの無効化
2. SMTP over TLS/SSL設定で　SSLv2/SSLv3 の有効/無効が選択可能

※デフォルト設定は有効（はい）の設定となりますので、本脆弱性対策を行うには、無効（いいえ）に変更頂く必要がございます。

なお旧筐体の機器に対しては、修正ファームウェアの提供予定がございませんが、サポート接続上での設定変更による対策を提供できる見込みです。

本件に関するご質問につきましては、jpinfo@barracuda.comまでお問い合わせください。

本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』10月20日付の記事の転載です。