OpenSSL の脆弱性(CVE-2014

文書番号:BNJ-Tech_20140414-168
2014 年 4 月 14 日
お客様各位
バラクーダネットワークスジャパン株式会社
【情報更新:4/14】OpenSSL の脆弱性(CVE-2014-0160)に関してのご案内
拝啓
貴社益々ご清栄のこととお慶び申し上げます。平素は弊社製品をご利用頂きまして誠にありがと
うございます。
既にお伝えしております OpenSSL の脆弱性(CVE-2014-0160)について、影響範囲の製品のうち、
WebFilter についても修正版ファームウェアがリリースされました。
これにより、全ての対象製品で修正版ファームウェアが適用可能となりました。
また、全ての対象製品について、セキュリティ定義ファイルの更新でも脆弱性対策が可能となりました。
これまでの公開情報と合わせ、以下改めてご案内致します。
敬 具
記
1.
概要
オープンソースの暗号通信ライブラリである OpenSSL に、情報漏えいの脆弱性が発見されました。
この脆弱性を悪用された場合、本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が
漏洩する可能性があります。
2.
対象となる OpenSSL
OpenSSL 1.0.1 から 1.0.1f
OpenSSL 1.0.2-beta から 1.0.2-beta1
3.
対象となるバラクーダネットワークス製品、ファームウェアバージョン
・Web Application Firewall v7.8.x
・Web Filter v7.0.x / v7.1.x
・Load Balancer v4.2.x
・Message Archiver v3.5.x / v3.6.x
以下の製品は該当いたしません。
・NextG Firewall
・Spam & Virus Firewall
・SSL-VPN
・Backup
4.
脆弱性に対しての対応
全ての対象製品で、修正版ファームウェアをリリース済です。
また、本脆弱性修正を含むセキュリティ定義ファイル v 2.1.12177 が公開されました。こちらは全て
の対象製品共通で利用可能です。
対象製品(対象ファームウェアバージョン)をご利用のお客様は、修正版ファームウェアの適用、セ
キュリティ定義ファイル更新のうちいずれかを早急に実施くださいますよう、お願い致します。
なお、セキュリティ定義ファイル更新が自動になっている場合、既に更新は実施されておりますが、
脆弱性に対する修正を有効にするには機器を再起動する必要がございますので、ご注意ください。

修正版ファームウェアの適用
対象の全製品について、以下の通り脆弱性を修正した新規ファームウェアがリリースされておりま
す。
・Web Application Firewall v7.8.1.016
http://updates.cudasvc.com/cgi-bin/view_release_notes.cgi?type=bwsware&version=7.8.1.016&platform=2
・Web Filter v7.1.0.004
http://updates.cudasvc.com/cgi-bin/view_release_notes.cgi?type=spyware&version=7.1.0.004&platform=2
・Load Balancer v4.2.2.009
http://updates.cudasvc.com/cgi-bin/view_release_notes.cgi?type=lbware&version=4.2.2.009&platform=2
・Message Archiver v3.6.0.0.15
http://updates.cudasvc.com/cgi-bin/view_release_notes.cgi?type=maware&platform=2&version=3.6.0.015
注意
ファームウェアインストールには再起動が伴います。
インストールプロセス~再起動を含め、15 分~20 分程度のサービス停止が発生致しますので、予め
ご了承ください。
【ファームウェアアップデートの前提条件(各製品共通)】
ファームウェアアップデート時は、インターネット上のアップデートサーバとの通信が必要となり
ますので、製品を FW の内側に設置している場合、各機に設定されたシステム IP からインターネッ
トに対して、TCP80(HTTP)及び TCP443(HTTPS)を FW 側で開放頂く必要がございます。
【ファームウェアアップデート手順(各製品共通)
】
※画像は LoadBalancer の例となります
① 管理画面にログインし、[高度な設定]>[ファームウェア更新]に移動してください。
② [ダウンロード可能なファームウェア]に上記新バージョンが表示されていることを確認し、[今
すぐダウンロード]ボタンを押し、ファームウェアをダウンロードして下さい。
③ ダウンロードが完了しますと、以下のように「ファームウェアのダウンロードに成功しました」
というメッセージが表示されますので、[今すぐ適用]ボタンを押し、ファームウェアインストー
ルを開始して下さい。
④ インストール処理後の再起動確認メッセージが表示されますので、[OK]ボタンを押して下さい。
インストールプロセスが開始され、完了後再起動が実施されます。
インストールプロセス~再起動を含め、15 分~20 分程度のサービス停止が発生致します
⑤ 再起動完了が完了しましたら、管理画面にログインし、[高度な設定]>[ファームウェア更新]に
移動して[インストール済バージョン]がアップデート後のバージョンとなっていることを確認
して下さい。

セキュリティ定義ファイル v 2.1.12177 への更新
全対象製品共通で、本脆弱性の修正を含むセキュリティ定義ファイル v 2.1.12177 への更新が可能
です。
脆弱性に対する修正を有効にするには、セキュリティ定義ファイル更新後、機器を再起動する必要
があります。
【定義ファイル更新の前提条件(各製品共通)】
定義ファイル更新時は、インターネット上のアップデートサーバとの通信が必要となりますので、
製品を FW の内側に設置している場合、各機に設定されたシステム IP からインターネットに対し
て、TCP80(HTTP)を FW 側で開放頂く必要がございます。
【定義ファイル更新手順(各製品共通)
】
① 管理画面にログインし、[高度な設定]>[エネルギー充填サービス]に移動してください。
② [セキュリティ定義更新]で自動更新が有効か無効かを確認して下さい。
有効な場合:インストール済みバージョンが「2.1.12177」となっていることを確認し、機器
を再起動(③)して下さい。
無効な場合:最新バージョンが「2.1.12177」となっていることを確認し、[更新]ボタンを押し
て、定義ファイルを更新して下さい。
更新が完了すると、
「更新に成功しました」というメッセージが表示され、最新バージョンが
インストール済みとなります。
③ [基本設定]>[管理]に移動し、画面一番下の[リスタート]ボタンを押して、機器を再起動して下
さい。
5.
本件についてのお問い合わせ先
バラクーダネットワークス
テクニカルサポート
電話番号:03-5436-6236
メールアドレス:jsupport@barracuda.com
対応時間:平日 9:00~17:00 (弊社指定の休日を除く)
※別途サポート契約先がございます場合は、ご契約先窓口までお問い合わせ下さい。
以 上