勧告: ソフォス製品に影響がある OpenSSL の脆弱性 (緊急)

  • 文章 ID: 120854
  • 更新日: 2014 4 30

2014年 4月 7日に OpenSSL で緊急レベルの脆弱性が発見されました。この文章では、発見された脆弱性のソフォス製品への影響と修正に必要な手順について説明しています。

重要:この文章は、今後引き続き更新が行われる可能性があります。新たな更新情報がないか英語サイトと併せて定期的に確認することをお勧めします。

影響を受けるソフォス製品とバージョン

Sophos UTM
Sophos Cloud
Sophos Anti-Virus for VMware vShield

脆弱性とは?

公式な CVE の情報はこちらをこ覧ください。ソフォス製品で使用している Open SSL のバージョンも掲載されています (下記参照)。

TLS heartbeat の読み取りオーバーランに関連するこの脆弱性が悪用された場合、問題の影響のある OpenSSL のバージョンを実行しているすべてのシステムのシステムメモリに含まれる機密情報が露呈されてしまう可能性があります。ただし、この不具合はメモリに関与するプロセスに読み取りを許可するので、露呈されているサービスのみが即座に影響を受けます。

詳細については、次のソフォスの Naked Security ブログの文章 (英語) をご覧ください。Anatomy of a data leakage bug - the OpenSSL "heartbleed" buffer overflow

脆弱性の影響がある Open SSL のバージョンは?

OpenSSL の 1.0.1 および 1.0.2-beta (1.0.1f および 1.0.2-beta1 を含む) には脆弱性の影響があります。

脆弱性の影響がある製品と脆弱性の修正方法は?

脆弱性の影響があるすべてのソフォス製品の一覧は以下です。重要:他の製品も SSL を使用する可能性がありますが、一覧に含まれていない製品はこの問題の影響を受けないため、対処は必要ありません。

以下に記載されている製品を 1つ以上使用している場合、下記の一覧を参照して必要な対応策を実行してください。

ソフォス製品 修正方法
UTM 9.1

UTM 9.1 の脆弱性に対応する修正パッチをご利用ください。修正手順は次のとおりです。

  1. パッチをインストールする
  2. 設定情報を印刷する
  3. UTM を再起動する
  4. 証明書を再生成する
  5. パスワードを変更する

詳細な手順については、サポートデータベースの文章 120851 を参照してください。

UTM 9.2
UTM LiveConnect Servers 2014年 4月 9日に修正パッチを適用済み  
UTM Manager 4.105

修正パッチ適用済み4.106-2 を利用可能

修正パッチを適用するには以下を実行してください。

  1. SUM WebAdmin にポート 4444 でログインします (デフォルトのポートが 4422 の Gateway Manager ではありません)。
  2. 「管理」-「Up2Date」 -「概要」の順に選択し、「すぐに最新バージョンに更新」を使用してファームウェア Up2Date をインストールします。
  3. 「Up2Date の進行状況を新しいウィンドウで確認する」をクリックして、別のブラウザウィンドウに Up2Date インストールの進行状況が表示されます ( Up2Date 処理が完了するとシステム管理者は通知メールを受け取ります)。

別の方法としては、ソフォスの FTP サーバーから Up2Date パッケージをダウンロードして「管理」-「Up2Date 」-「詳細」の順に選択して次の内容をインストールします。

最初のアップデート: 4.105 から 4.106 へのアップデート

ダウンロード: SUM 4.106 (MD5)

2番目のアップデート: 4.106 から 4.106-2 へのアップデート

ダウンロード: SUM 4.106-2 (MD5)

SAV for vShield

脆弱性に対応しているインストーラの新しいバージョン 1.1.6 をご利用いただけます。こちらからダウンロードしてください。 

Sophos AntiVirus for VMware vShield バージョン 1.0 のお客様の場合

バージョン 1.1.6 にアップグレードしてください。このインストーラにはアップグレードのための旧バージョンのアンインストールと新バージョンインストールをサポートするウィザードが含まれています。アップグレード方法については、 Sophos Anti-Virus for VMware vShield アップグレードガイドをご覧ください。

Sophos AntiVirus for VMware vShield バージョン 1.1.4 のお客様の場合

以下のいずれかを実行します。

  1. MySophos のダウンロードページから新しい SAV for Vshield 1.1.6 のインストーラをダウンロードしてインストールを行って、即座に脆弱性の問題を解決する。 

    または

  2. お客様の既存のインストール内容に自動アップデートが 4月 22日またはそのしばらく後に実行されるのを待つ。これは Sophos AntiVirus ソフトウェアに対する通常の月次アップデートの一部として実行されるため、お客様は何の操作も必要ありません。

注: VMware 製品および OpenSSL の脆弱性に関するステータスの詳細については、VMware のセキュリティ勧告のページ- http://www.vmware.com/security/advisories/VMSA-2014-0004 をご覧ください。

 Sophos Cloud ソフォスでは cloud.sophos.com に脆弱性に対応する修正パッチを既に適用しており、今までにもプラットフォームへの攻撃は確認されておりません。一般的に推奨される追加の予防対策の一環として、お客様の cloud.sophos.com のパスワードを更新しておくことをお勧めします。

他のソフォス製品への脆弱性に関する情報については以下をご覧ください。

重要:

お客様の証明書が既に攻撃を受けている場合、OpenSSL の脆弱性に修正パッチを適用し、今後の攻撃に対しても保護対策を行い、その他のセキュリティ上の脆弱性の問題の影響を軽減するには、次の 3つを実行する必要があります。

  1. OpenSSL の修正パッチを適用する
  2. すべての SSL 証明書を再生成する
  3. すべてのパスワードを変更する

修正パッチとすべての SSL 証明書を再生成する手順はどこで取得できるのか?

現在ご利用可能な UTM 向けの修正パッチは ”Heartbleed” バグ: UTM に対する推奨される対応手順の文章に一覧があります。その他のパッチについても準備ができ次第、詳細情報を追加いたします。更新情報がないかどうか引き続きこのページ(および英語サイト)を定期的にご確認ください。

 
詳細情報が必要な場合やご不明の点がある場合は、 テクニカルサポート までご連絡ください。

Rate this article

Very poor Excellent

Comments