■TLS/SSLの脆弱性「DROWN」について(CVE-2016-0800)
SSLv2をご利用できる環境において、本脆弱性を悪用されると、
TLSセッションの暗号化が復号され、秘匿された通信内容が盗聴される可能性がございます。
■Scutumの対応
WAF 「Scutum」 では、SSLv2は予め無効になっており、
Scutumを経由した通信のみでは、影響を受けないものとなります。
また、Webサーバ側が影響を受けるバージョンを利用していた場合においても、Webサーバ
側のF/Wの設定などで、ScutumからのIPアドレスに接続を限定している場合は、本脆弱性
の影響は受けません。
しかしながら、Webサーバ側が影響を受けるバージョンであった場合は、影響がない状態に
バージョンアップして頂くことを推奨します。加えて、ScutumからのIPアドレスに接続を
限定していない場合や、メールサーバ等のSSL設定においてSSLv2を有効にしている場合は
対策を行っていただく必要がございます。
※他に同時に公開されたOpenSSLの脆弱性についてもScutumを経由した通信については、
影響を受けないものとなります。