OpenSSL脆弱性(CVE-2014-0160)の影響については、Soliton SecureGateway(以下SSG) V1.0.1 までの各バージョンが本脆弱性の影響を受けます。
V1.0.2 にて本脆弱性へ対応しましたので、V1.0.2 以降の最新アップデート用ファームウェアの適用をお願いします。
※SSGはファームウェアアップデート時の再起動により、ローカル上のログが失われます。
ファームウェアアップデート前に各種ログの保存を実施してください。
なお、SSGのファームウェアアップデート前にOpenSSL脆弱性を利用した攻撃を既に受けている可能性を否定できないため、アップデート実施後以下の対策を行うことを推奨します。
○SSGで利用しているサーバー証明書の更新
(新たな鍵を利用して発行されたサーバー証明書のインポート)
<サーバー証明書の更新手順について>
Soliton SecureGateway V1.0 システム管理ページリファレンスマニュアル
p.87-付録B サーバー証明書更新手順
※既存でご利用のサーバー証明書は失効する等の対処を推奨します。
○ユーザー認証を行っている場合は、ユーザーアカウントのパスワード変更
サーバー証明書の秘密鍵が漏えいした場合、SSL による暗号化通信の内容を
解読される可能性があります。
そのため、SSG認証にクライアント証明書を利用せず、ユーザー名・パスワードのみの認証を
実施している場合は、パスワード変更等の対策をご検討ください。
○システム管理者のパスワードの変更
システム管理ページとの通信内容を傍受されると、システム管理者のアカウント情報を含め、
そのときの通信内容が漏えいする危険性があります。
そのため、SSGファームウェアアップデート実施後に、パスワード変更を行うことをご検討ください。
念のためシステムログにてシステム管理者によるログオンや操作内容を確認し、
不正にアクセスされた形跡がないか等、ご確認いただくことを推奨します。
<手順について>
Soliton SecureGateway V1.0 システム管理ページリファレンスマニュアル
p.47-2.12 管理者アカウント
(対象アカウントの項目で「編集」ボタンを押下後、新しいパスワードを
入力し「確定」ボタンを押して設定を保存してください)