FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

TLS 1.xの脆弱性(CVE-2014-8730) F5 BIG-IPでの影響と対策方法について

2014.12.11 (Thu)

■内容

TLS 1.xにてCBCモード(ブロック暗号モード)を利用している場合、
攻撃者により脆弱性が悪用され、
暗号化されている通信の内容が漏洩する可能性がある。


■影響を受けるバージョン

・SSL Profile (Virtual ServerでのSSL)
v11.0.0 - v11.5.1
v10.0.0 - v10.2.4

※1 BIG-IP x9.xは、サポートが終了のため、
  影響について確認不可(未確認)。

※2 Configuration Utilityは脆弱性対象外





■対処方法


●暫定策

BIG-IPが使用する暗号化スイートよりCBCモードを外し、
不使用とすることで、脆弱性の影響を回避可能


CLIコマンドでの設定方法

・v11.5.0以降

# tmsh
# modify ltm profile client-ssl (プロファイル名) ciphers !SSLv3:AES-GCM:RC4-SHA
# save sys config


・v11.4.1より前のv11.x

# tmsh
# modify ltm profile client-ssl (プロファイル名) ciphers !SSLv3:RC4-SHA
# save sys config



●恒久策

改修版にアップデートする

v11.5.1 HF6
v11.5.0 HF6
v11.4.1 HF6
v11.4.0 HF9
v11.2.1 HF13
v10.2.4 HF10

※2014年12月11日現在

※EoSDとなっていないその他バージョンは順次リリース予定


■その他

詳細はこちらをチェック

SOL15882: TLS1.x padding vulnerability CVE-2014-8730


関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック