SSL脆弱性　FREAK 攻撃について（お知らせ）

2015-03-16 新着情報

各種報道などで取り上げられておりますFREAK(Factoring attack on RSA-EXPORT Keys)攻撃に対するSSL脆弱性についてお知らせします。

・FREAK攻撃についての情報（JVN）

本件は、中間者がSSLクライアント-SSLサーバ間のメッセージを改ざんすることで、実時間で解読可能な強度の低いRSA鍵を使用するよう導かれてしまう、という攻撃です。これによって中間者は暗号通信に使用する鍵を入手し、通信内容を復号化して盗み見します。

・サーバが強度の低いRSA鍵に対応していること

・クライアントがサーバから無条件にサーバからの弱いRSA鍵を受け入れてしまうこと

が原因となっています。

サーバ側のミドルウエア、Cente Compact SSLd/DTLSdでは強度の低いRSA鍵には対応していないため非該当です。

クライアント側のミドルウエア、Cente Compact SSLc/DTLScでは正しく条件判断した上でサーバからの弱いRSA鍵を受け入れる実装となっているため非該当です。

以上よりCenteミドルウエアセキュリティ製品である

・Cente Compact SSLc

・Cente Compact SSLd

・Cente Compact DTLSc（Compact SSLcオプション）

・Cente Comapct DTLSd

の各製品について、本脆弱性は該当しません。

・Cente SSL（販売終了・サポート終了品）

については、本脆弱性が該当します。

Cente Compact SSLd、Cente Compact SSLcへの置き換えを推奨します。

詳細はお問い合わせ窓口よりお問い合わせください。