IBM Caching ProxyにおけるSSLトンネリング設定に関する脆弱性

内容/目次

【現象】

下記のバージョンに該当するCaching Proxyは、デフォルトでSSLトンネリングが利用できる設定となっており、他 のサーバーへの不正アクセス等を試みる見知らぬユーザーによって踏み台サーバーにされることがあります。最新バージョンのCaching Proxyはデフォルト設定が変更され、SSLトンネリングの脆弱性から保護されます。さ らにすべてのプロトコルをトンネリングするCONNECTメソッドについて細かな制御が可能になり、S SLトンネリングを利用する環境でも十分なセキュリティーを保つ構成ができるようになりました。
【対象製品】
下記の製品パッケージに含まれるIBM Caching Proxyをご使用で、IBM Caching Proxyのバージョンが下記に該当する場合:
製品パッケージ IBM Caching Proxyバージョン
Edge Server V2.0 V4.0.2.32 未満
WebSphere Application Server V5.0.x Network Deployment V5.0.2.11 未満
WebSphere Application Server V5.1 Network Deployment V5.1.0.0

【確認方法】
Caching Proxyのバージョン確認方法
AIXの場合

lslpp -l | grep wses コマンドで確認します。以下のように表示されます。< /font>

wses_cp.base 5.1.0.5 COMMITTED Caching Proxy



Linuxの場合

rpm -qa | grep WSES コマンドで確認します。以下のように表示されます。< /font>

WSES_CachingProxy-5.0.0-0



Windowsの場合

レジストリの値からバージョンを確認します。

レジストリエディタを起動([スタート]-[ファイル名を指定して実行]で「regedit」と 入力)し、以下のキーを選択します。

HKEY_LOCAL_MACHINE\SOFTWARE\IBM\WSES-CachingProxy\CurrentVersion

画面の右側に表示される、以下のようなエントリーの値を確認します。

MajorVersion 0x00000004(4)
MinorVersion 0x00000000(0)
PatchLevel 0x00000021(33)

上記の場合、Caching Proxyのバージョンが4.0.33であることを表します。< /font>



Solarisの場合

下記コマンドで確認します。ここで#はメジャーバージョン番号を表します。

pkginfo | grep WSES
pkginfo -L WSEScp.#



HP-UXの場合

swlist | grep WSES コマンドで確認します。

【対応方法】
リバース・プ ロキシ構成の場合
リバース・プロキシ構成の場合、 上記のレベルの修正プログラムを適用後は、SSLトンネリング、CONNECTメソッドは使用不可にされており、構成ファイルを変更する必要はありません。修 正プログラムの入手は、下記お問合せ先に記載されていますPAテクニカルサポート総合窓口までお問い合わせください。

フォワード・プロキシ構成の場合
上記のレベルの修正プログラムを適用後、フォワード・プ ロキシ構成でSSLトンネリングとCONNECTメソッドをサポートするには、追加構成を実施する必要があります。修正プログラムの入手は、下記【お問合せ先】 に記載されていますPAテクニカルサポート総合窓口までお問い合わせください。

SSLトンネリングをサポートするには、SSLTunnelingディレクティブをonにし、C ONNECTメソッドを利用可能にする必要があります。以下の3つのオプション(OutgoingPorts, OutgoingIPs, ImcommingIPs)が、SSLトンネリングのセキュリティー向上のため、Enable CONNECTディレクティブに追加されました。セ キュリティーを確保するため、SSLトンネリングの利用に際して、少なくともOutGoingPortsオプションの値を定義することをお勧めします。< /font>
1.OutgoingPorts (SSLトンネリングのためのアクセスを、リ モートサーバのポートで制限する)

OutgoingPorts [all | [port1|port1-port2|port1-*],...]

例1:
SSLトンネリングの接続先として、リ モートサーバの443ポートのみへのクライアント接続を許可する場合は、以下のディレクティブを設定します。 Enable CONNECT OutgoingPorts 443
SSLTunneling on

例2:
SSLトンネリングの接続先として、リ モートサーバのすべてのポートに対するクライアント接続を許可する場合は、以下のディレクティブを設定します。 Enable CONNECT OutgoingPorts all
SSLTunneling on

例3:
SSLトンネリングの接続先として、リモートサーバの80ポート、8080-8088ポート、9 000以上のすべてのポートに対するクライアント接続を許可する場合は、以下のディレクティブを設定します。 Enable CONNECT OutgoingPorts 80,8080-8088,9000-*
SSLTunneling on

注意
フォワード・プロキシで、通常のSSLトンネリングを構成する場合、少 なくともOutgoingPortsに、443かallの設定を行ってください。
複数のポート、ポート範囲をリストに指定する場合は、スペースを入れずにコンマで区切ります。< /font>


2.OutgoingIPs (SSLトンネリングの為のアクセスを、リ モートサーバのIPアドレスで制限する)

OutgoingIPs [[!]IP_pattern,...]

例:
IPとhost名が *.ibm.comに一致し、192.168.*.* に一致しないサーバーの全てのポートへに対するクライアント接続を許可する場合は、以下のディレクティブを設定します。 Enable CONNECT OutgoingPorts all OutgoingIPs *.ibm.com,!192.168.*.*
SSLTunneling on
注意
IP_patternを複数指定する場合は、スペースを入れずにコンマで区切ります。< /font>


3.IncomingIPs (SSLトンネリングのためのアクセスを、ク ライアントIPアドレスで制限する)

IncomingIPs [[!]IP_Pattern,...]
例:< /font>
クライアントIPアドレスが 192.168.*.* から、リ モートサーバの全てのポートに対するクライアント接続を許可する場合は、以下のディレクティブを設定します。 Enable CONNECT OutgoingPorts all IncomingIPs 192.168.*.*
SSLTunneling on

注意
192.168.*.* をイントラネットのIPマスクとした場合、上 記構成ではイントラ側からの接続のみにSSLトンネリングの為のCONNECTメソッドが許可されます。
IP_patternを複数指定する場合は、スペースを入れずにコンマで区切ります。< /font>
【お問合せ先】
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)

電話 :0120-557-971
受付時間 :月~金 9:00~17:00(祝日、12/30~1/3を除く)

【参考情報】
Edge_Component/swg21158667.html (英語)

文書情報
有効期限: 2015年9月12日
本コーナーは、お客様の問題解決のためのヒントとしてご利用ください。 本コーナーの記載内容は、お客様固有の問題に対し、適切であるかどうか、また、正 確であるかどうかは十分検証されていません。 結果について、いかなる保証も責任も負いかねますので、あらかじめご了承ください。




Document Information


Product categories: Software > Application Servers
Operating system(s): Platform Independent
Software version:
Software edition:
Reference #: 492574A4002A84AB
IBM Group: Software Group Japan
Modified date: Sep 12, 2004