新着情報

SSL脆弱性 FREAK 攻撃について(お知らせ)


各種報道などで取り上げられておりますFREAK(Factoring attack on RSA-EXPORT Keys)攻撃に対するSSL脆弱性についてお知らせします。

 

・FREAK攻撃についての情報(JVN)

http://jvn.jp/vu/JVNVU99125992/

本件は、中間者がSSLクライアント-SSLサーバ間のメッセージを改ざんすることで、実時間で解読可能な強度の低いRSA鍵を使用するよう導かれてしまう、という攻撃です。これによって中間者は暗号通信に使用する鍵を入手し、通信内容を復号化して盗み見します。

・サーバが強度の低いRSA鍵に対応していること

・クライアントがサーバから無条件にサーバからの弱いRSA鍵を受け入れてしまうこと

が原因となっています。

 

サーバ側のミドルウエア、Cente Compact SSLd/DTLSdでは強度の低いRSA鍵には対応していないため非該当です。

クライアント側のミドルウエア、Cente Compact SSLc/DTLScでは正しく条件判断した上でサーバからの弱いRSA鍵を受け入れる実装となっているため非該当です。

 

以上よりCenteミドルウエア セキュリティ製品である

・Cente Compact SSLc

・Cente Compact SSLd

・Cente Compact DTLSc(Compact SSLcオプション)

・Cente Comapct DTLSd

の各製品について、本脆弱性は該当しません。

 

・Cente SSL(販売終了・サポート終了品)

については、本脆弱性が該当します。

Cente Compact SSLd、Cente Compact SSLcへの置き換えを推奨します。

 

詳細は support@cente.jpまでお問い合わせください。

Social Media