• No : 402
  • 公開日時 : 2014/11/25 20:34
  • 更新日時 : 2021/09/24 10:00
  • 印刷

L7ロードバランサー(Ivanti Virtual Traffic Manager)のPOODLE:SSLv3.0の脆弱性(CVE-2014-3566)に対する影響と対処方法について

回答

1.対象バージョン 

 Ivanti Virtual Traffic Manager ver.9.2、9.4、9.5、9.6r1、9.7 
 

2.影響範囲 

  1) 管理ポート(9090)へのアクセスについて、SSLv3を許可している場合は影響を受けます。(デフォルトでは許可していません。) 

  2) 各仮想サーバでSSL Decryption機能を有効にしており、かつSSLv3を許可している場合は影響を受けます。 (デフォルトで許可しています。) 

  3) OSが提供する各ツール(wget等)からSSLv3を無効にしない状態でSSL通信を行った場合は影響を受けます。 (カスタムスクリプトによるSSL通信も含まれます。) 


3.対処方法 

 1) 管理ポートへのアクセスについて

  管理ポートへのアクセスについては、デフォルト状態では特に設定変更をする必要はありません。 
  管理ポートへのアクセスでSSLv3が有効になっているかは GUI上でSystem ->Security -> 
  SSL Settings for Admin Server And Internal Connectionsセクションのadmin!support_ssl3の設定内容をご確認ください。 

 2) 仮想サーバへのSSL通信について

  ① Ivanti Virtual Traffic Manager ver.9.5以前のバージョン 

  各仮想サーバのSSLv3の有効化/無効化についてはGlobal Settinsの"ssl!support_ssl3"により指定されます。 
  GUI上でSystem -> Global Settingsと遷移し、SSL Configurationセクションを展開してください。
  ssl!support_ssl3パラメータが存在し、デフォルト値は "Yes"に設定されています。
  デフォルト値のままであれば、"No"に設定してください。 

  ② Ivanti Virtual Traffic Manager ver.9.6以降のバージョン 

  仮想サーバのSSL通信については仮想サーバ毎に設定値を変えることができます。 
  デフォルト状態では仮想サーバのsslv3通信の設定値は、Global Settingsの設定値を引き継ぐという設定がなされています。 

  その為、各仮想サーバの設定値をGlobal Settingsの設定値を引き継ぐ状態にした上で
  global Settingsでの設定でsslv3の値を無効にしていただくことを推奨いたします。 

 ・各仮想サーバのssl_support_ssl3の設定値の確認方法について 

  Services -> Virtual Servers -> "仮想サーバ名" -> SSL Decryptionと遷移しSSL Decryptionセクションにssl_support_sslが存在します。 
  デフォルト値は"Use the global Settings for SSLv3"に設定されています。 

 ・Global Settingsのssl!support_ssl3の確認方法について 

  GUI上でSystem -> Global Settingsと遷移し、SSL Configurationセクションを展開してください。
  ssl!support_ssl3パラメータが存在し、デフォルト値は"Yes"に設定されています。デフォルト値のままであれば、"No"に設定してください。

 3) 各ツールによるSSL通信について

  各ツールによるSSL通信を行う際には、オプション等でTLSを利用した通信を行う様に指定をしてください。