Raccoon Attack(CVE-2020-1968)に関する脆弱性について

2020/09/29

表題の件につきまして、脆弱性が報告されておりますのでご注意ください。
※詳細は以下をご覧ください。

【影響】
Raccoon Attackと呼ばれる攻撃により、TLS ハンドシェイクのPre-master secret が解読され、
HTTPS暗号化通信が盗聴される危険性が報告されています。
この脆弱性について、OpenSSLサイトでは【低】と設定しています。

※詳細は以下をご覧ください。
https://jvn.jp/vu/JVNVU91973538/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1968

【対策】
LoadMasterの設定で、"SSL Acceleration" が無効の場合には設定が不要です。
ただし、RS(リアルサーバ)がSSLに対応している場合はサーバ側にて修正が必要です。

"SSL Acceleration" が有効な場合は、以下の対応を行ってください。

1."DH"から始まるCipher Suiteを排除する。
2. TLS 1.3のみを設定して、他の選択を排除する。

※詳細は以下をご覧ください。

【1.鍵交換アルゴリズムDHの排除】
===============================================================
①対象VSのModifyを選択後
SSL Properties Cipher Set より"Modify Cipher Set"をクリック

②右側のCipher Suite一覧にある中から
"DH"から始まるCipher Suiteをドラッグアンドドロップし
左側の一覧の上でボタンを離す

③"DH"から始まるすべてのCipher Suiteに関し②と同様の操作を行う
※"DHE"から始まるものも対象です。
※"ECDHE"から始まるものは削除する必要はございません。

④ページ下部　"Save as"に任意の名前を入力し"Save"をクリックする

⑤SSL Properties Cipher Setに戻り、④で設定した名前(を持つCipher Set)を 選択する
==============================================================


【2.TLS 1.3のみを設定】
===============================================================
①TLS1.3の選択は一定以上のFWバージョンが必須となります

・ハードウェアアプライアンスLoadMasterの場合； 7.2.47.0以上
・バーチャルアプライアンスLoadMasterの場合； 7.2.45.0以上

上記以外をご使用の場合はFWのバージョンアップを行ってください。

安定版(7.1から始まるバージョン)ご利用のお客様もこの機会にアップグレード をお勧めいたします。
※FWアップグレードパスは以下を参考願います。
https://support.kemptechnologies.com/hc/en-us/articles/202454598-Kemp-LoadMaster-Firmware-Upgrade-Path

②対象VSのModifyを選択後、SSL Properties Supported Protocolsより
TLS1.3のみチェックボックスがチェックされている状態にする
※TLS1.3の場合は"DH"から始まるCipher Suiteを排除する必要はございません。
===============================================================

その他、ご不明な点ございましたら、kempsupport@fxc.jpまでご連絡ください