ニュースソース:Symantec
以下は、2017年5月24日に公開されたSA142 : Invalid TCP Packet Generation DoS in SSL Visibilityを要約したものです。
SSL Visibilityアプライアンスは、特定の状況下では、傍受されたSSL接続を終了するときに、リモートSSLサーバーへの無効なTCPリセット(RST)パケットを生成することがあります。
いくつかのSSLサーバーは、受信した無効なRSTパケットを無視し、TCP接続を開いたままにします。特定の状況下では、悪意のあるSSLクライアントがこの脆弱性を利用して、SSLサーバーでTCP接続プールを枯渇させ、サービス拒否(DoS)を引き起こす可能性があります。
SSL Visibilityアプライアンスは、TCP接続状態を正しく解放するため、影響を受けません。
影響を受ける製品
- SSL Visibility
3.11.3.1以前のSSLV 3.8.4FC、3.9,3.10、および3.11は脆弱です。SSLV 4.0は脆弱ではありません。
パッチ
SSLV 3.11 – 修正は3.11.3.1で利用可能です。
SSLV 3.10 – 現時点では修正が利用できません。
SSLV 3.9 – 修正は提供されません。この脆弱性を修正した最新バージョンにアップグレードしてください。
SSLV 3.8.4FC – 修正は提供されません。この脆弱性を修正した最新バージョンにアップグレードしてください。