KEMP社製品 CVE-2015-4000 セキュリティ情報

2015/06/22

KEMP Technologies社からセキュリティ情報が発表されました。
アナウンスされたサイトは以下のURLです。

https://support.kemptechnologies.com/hc/en-us/articles/205206775-Logjam-CVE-2015-4000

以下は、文面の要訳です。

Logjam - CVE-2015-4000

最近、Logjam(Log=丸太、jam=渋滞の造語)という名称のセキュリティの脆弱性が発見されました。これは、TLSネゴシエーションで使われるDiffie-Hellmanアルゴリズム(DHE_EXPORT)に影響を及ぼします。
この脆弱性は、マン・イン・ミドルの攻撃により、クライアント、サーバ間で交換するレガシーCypherを使用することで露呈します。このレガシーCypherは、低次元な技術で簡単に複合できてしまいます。
脆弱性のあるサーバとクライアント(多くの場合、ブラウザ)は、この攻撃にさらされます。ほとんどのブラウザでは、アップデイトが用意されています。

KEMP社のLoadMasterについての見解は以下の通りです。
LoadMasterは、DHE_EXPORT Cypherを使用していないため、この問題の影響はありません。