目次
2014/06/06 ソフトイーサ株式会社
昨日 2014/06/05 に、世界中のすべてのバージョンの OpenSSL (OpenSSL を使用したソフトウェアを含む) に SSL プロトコルの実装上の脆弱性 (SSL/TLS MITM vulnerability, CVE-2014-0224) が存在していることが公表されました。
この脆弱性は、OpenSSL のサーバー側が OpenSSL 1.0.1 以降を使用している場合にのみ、サーバー・クライアントの双方で暗号強度の危険が生じるものです。
PacketiX VPN / SoftEther VPN はサーバー側・クライアント側の両側とも、安定のため OpenSSL 0.9.8 系を使用しているため、通常はこの脆弱性による影響は生じません。
しかし、昨日 OpenSSL 0.9.8za がリリースされたことから、PacketiX VPN / SoftEther VPN についても内部の OpenSSL を 0.9.8za にアップデートしたバージョンを公開いたします。本アップデートの適用は必ずしも必須ではありませんが、OpenSSL 0.9.8z 以前にはその他の問題もあることから、できるだけ早期にアップデートいただくことを推奨いたします。
ソフトイーサは OpenSSL の脆弱性が発表された後、数時間後にこの脆弱性を解消したバージョンである PacketiX VPN 4.0 (Ver 4.07, Build 9448) のリリースを行いました。最新版の PacketiX VPN 4.0 は http://www.packetix-download.com/ で提供されており、有効なサポートライセンスを持つすべての PacketiX VPN 4.0 のお客様は本ビルドをダウンロードしてアップデート可能です。
また、PacketiX VPN 3.0 についても同様にこの脆弱性を解消したバージョンである PacketiX VPN 3.0 (Ver 3.04, Build 7985) のリリースを行いました。最新版の PacketiX VPN 3.0 は http://www2.softether.jp/jp/vpn3/download/ で提供されており、有効なサポートライセンスを持つすべての PacketiX VPN 3.0 のお客様は本ビルドをダウンロードしてアップデート可能です。
この脆弱性は、一般的な国内のインターネット回線においては悪用することが難しく、また仮に悪用された場合においても、2014 年 4 月に報告された OpenSSL 1.0 系の Heartbleed 脆弱性 (PacketiX VPN / SoftEther VPN は OpenSSL 0.9.8 系を使用しているため無関係) と比較して緊急に対処を必要とするものではありません。しかしながら、論理的には、物理的にインターネット回線を掌握している中間攻撃者がインターネット回線におけるパケットの書き換えを実施することができる環境にある場合、当該伝送路上で SSL-VPN セッションが確立された場合においては、最悪の場合は VPN の通信内容が攻撃者によって読み取られたり、任意の通信パケットを挿入されたりする可能性があります。ただし、そもそも PacketiX VPN / SoftEther VPN はサーバー・クライアントの双方とも安定のため OpenSSL 0.9.8 系を使用しているため、この脆弱性による影響は受けないと考えられます。しかし OpenSSL 0.9.8z 以前にはその他の問題もあることから、できるだけ早期にアップデートいただくことを推奨いたします。
今回の OpenSSL に関する脆弱性については、次の Web サイトに詳しい情報が記載されています: http://ccsinjection.lepidum.co.jp/ja.html
なお、OpenSSL の脆弱性が発表され、OpenSSL 0.9.8za がリリースされた後、本アップデート版を公開するまでの所要時間は数時間であり、通常アップデート版を検証にかける時間よりも短い時間でリリースを行っております。
本アップデート版が正常に動作することはソフトイーサの実験環境において検証済みですが、重要業務で VPN Server を使用されている場合は、念のため、本アップデートのインストールは業務時間外などに実施をしていただき、アップデート後に万一不具合が発生した場合においては前回使用されていたバージョンに直ちにロールバックしていただくことが可能な状態でアップデート作業を実施いただきますようお願いいたします。