このドキュメントでは、McAfee アプリケーションに関連したサステイニング エンジニアリングのサポート方針について説明します。
概要 この文書では、ePO と
Logjam attackの脆弱性に関する懸念を取り上げています。.
詳細については、
CVE-2015-4000 を参照してください。 :
説明 McAfee は、Logjam の問題を処理する 2 つの通知を受信しました。 2回目の通知は、最初の通知をさらに拡張させたものです。
初期通知: TLS プロトコルに対する Logjam attack です。 中間者攻撃者は、Logjam 攻撃により、脆弱なTLS接続を512ビットのエクスポートグレード暗号にダウングレードします。 これにより、接続を介して送信されるデータの読み取りと変更が可能になります。 この攻撃は、FREAK 攻撃ですが、実装の脆弱性ではなく TLS プロトコルの欠陥によるもので、RSA鍵交換ではなくDiffie-Hellman鍵交換を攻撃します。 この攻撃は、DHE_EXPORT 鍵 がサポートする全てのサーバ、又現代の全ての Web ブラウザに影響します。
2 番目の通知: 国家レベルの敵からの脅威。 数百万の HTTPS、SSH、および VPN サーバーはすべて、Diffie-hellman 鍵交換に同じ素数を使用します。 各接続で新しいキー交換メッセージが生成されている限り、実践では安全であると考えています。 しかし、Diffie-Hellman コネクションを解除するための最も効率的なアルゴリズムである「数原篩」の最初のステップは、この素数にのみ依存しています。 この最初のステップの後、攻撃者は個々の接続を素早く切断することができます。
エンジニアリングは TLS に使用されている最も一般的な 512 ビットの素数に対してこの計算を実行し、Logjam 攻撃を使用して DHE_EXPORT をサポートする TLS サーバーの 80% に接続をダウングレードできることを示しました。 さらに McAfee のアカデミックチームが 768 ビットの素数を解除して、国家が 1024 ビットの素数を中断することを推奨します。 Web サーバーで使用されている最も一般的な単一の 1024 ビットのプライムを破ることで、100 万件以上の HTTPS ドメインの 18% に接続する受動的な盗聴が可能になります。 2 番目の素数は、VPN サーバーの 66% と SSH サーバーの 26% への接続の受動的な解読を可能にします。 公表されたNSAのリークを詳しく読むと、当局のVPNに対する攻撃は、そのような打撃を受けたことと一致していることがわかります。
調査と結論 最初に脆弱性が発表された時点で、ePO チームは共同でリスク評価を行い、ePO はこの問題の影響を
受けないと判断しました。 当初の理由は、当初確認されていた<512ビットの輸出用グレードの暗号>を超えたことによるものでした。
脆弱性のある ePO のバージョン
2回目の改訂とリスク評価の結果、国家レベルの敵対者の新しい基準に基づいて、ePO は
脆弱であると結論づけられました。
ePO チームは、次のように OpenSSL とビットグレードの暗号化のバージョンをアップグレードしています:
- ePO 5.3.1 in Hotfix 1080544 は、製品ダウンロードサイトで入手できます。
- ePO 5.1.3
- ePO 4.6.9 Hotfix 1080853は、OpenSS を更新します。 しかし、今回の ePO 4.6.9 Hotfix では、統合された Apache 2.2.x のバージョンが正常に動作するために 512 または 1024 のキーサイズを必要とするため、サーバーの一時キーをアップグレードすることができません。 つまり、セキュリティスキャナーは、サーバーのテンポラリキーの値をチェックし、最大 1024 サイズを脆弱であると報告するため、ePO 4.6.x のすべてのバージョンを脆弱であると認識することができるのです。 この 1024 の鍵のサイズは、国や国が主催する攻撃から保護する場合、弱いとみなされます。 サーバーの Temp キーのサイズに正しく対処するには、ePO 4.6.x を ePO 5.1.3 または ePO 5.3.1 にアップグレードしてから、ePO 5.x Hotfix 1080544 を適用する必要があります。 詳しくは、SSL/TLS Strong Encryptiog FAQ のランディングページをご覧ください。
注意: 上記の ePO バージョンは、すべて生産終了となりました。
脆弱性のない ePO のバージョン
ePO 5.10.x と ePO 5.9.x は 影響を受けません。
免責事項
この文章に記載されている将来の製品発売日は、製品の一般的な方向性を示すものであり、購入の意思決定の際に依存するものではありません:
- 製品リリース日は、情報提供のみを目的としており、契約条件に盛り込むことはできません。
- 製品のリリース日は、何らかの素材、コードまたは機能を提供するという確約でも誓約でも法的義務でもありません。
- 弊社の製品について説明されている特徴や機能の開発、リリース、およびタイミングは、弊社独自の裁量であり、いつでも変更または取り消される可能性があります。