お客様各位

VPN-1 / FireWall-1製品のセキュリティ脆弱性への対応について

平素は、富士通製品をご愛用いただき誠にありがとうございます。

Check Point Software Technologies社のVPN-1 / FireWall-1製品 (Check Point Express / Enterprise製品) に関し、次のセキュリティ脆弱性の問題の報告がありました。

1. H.323セキュリティ脆弱性
2. HTTP Security Serverセキュリティ脆弱性
3. ISAKMPに関するアラート

つきましては下記の通り、ご対応をお願いいたします。

対象製品

1. H.323
   Check Point FireWall-1 Next Generation(NG)
2. HTTP Security Server
   Check Point FireWall-1 Next Generation(NG)
   (VPN-1 / FireWall-1 4.1は、影響ありません)
3. ISAKMP
   VPN-1 / FireWall-1 4.1 SP5a および以前のバージョン
   VPN-1 / FireWall-1 Next Generation(NG) FP0 および FP1
   (VPN-1 / FireWall-1 4.1 SP6、VPN-1 / FireWall-1 Next Generation(NG)FP2およびこれ以降のバージョンは、影響ありません)

影響度

1. H.323
   H.323を使用していない場合でも外部から攻撃を受ける可能性があります。またCheck Point社は旧製品: 4.1, 4.0のサポートを終了しておりますので、NGへのアップグレードをお願いいたします。
2. HTTP Security Server
   FW-1のHTTP Security Serverを使用している場合、ある環境下でクラッシュし、さらに乗っ取られる可能性があります。
   HTTP Security Serverを使用していない場合は、パッチ (HotFix) を適用する必要はありません。
3. ISAKMP
   IKE証明書を使用している場合、アタッカーからリモートで、システムのバッファ・オーバーフローを引き起こされる可能性があります。

修正情報

1. H.323
   • H.323を使用している場合
     • NG-AI R55用の修正パッチ (HotFix)
       VPN-1 / FireWall-1製品のSupportDesk契約されているお客様はSupportDesk WEB(後述)からダウンロード可能です。ログイン後、VPN-1 / FireWall-1の「重要なお知らせ」を選択し適用してください。
     • NG-AI R54用、NG FP3の修正パッチ (HotFix)
       Check Point社から提供され次第、アップします。
     • NG FP2以前のもの
       修正パッチ (HotFix) のリリース予定がありません。 NG FP2以前の環境でH.323を使用している場合は、最新のNGにアップグレードしてから上記修正パッチ (HotFix) を適用してください。
     • Check Point社のアナウンス
       (英語)
       http://www.checkpoint.com/techsupport/alerts/h323.html
       (日本語)
       http://www.checkpoint.co.jp/techsupport/alerts/h323.html
     • SupportDesk WEB
       http://www.fujitsu-osc.ne.jp/
       (VPN-1 / FireWall-1製品のSupportDesk契約されているお客様はSupportDesk WEB(後述)からダウンロード可能です。ログイン後、VPN-1 / FireWall-1の「重要なお知らせ」を選択し適用してください。)
   • H.323を使用していない場合
     次の2つの方法で対応願います。
     • H.323通信を不可にするルールを追加する。
     • H.323通信の自動解析を不可にする。
     • 詳細は次のURLをご参照願います。
       (英語)
       http://www.checkpoint.com/techsupport/downloads/docs/
       firewall1/r55/h323update.pdf
       H.323を使用していない環境に対しても、Check Point社はH.323 脆弱性に対するパッチ適用を強く推奨しています。
2. HTTP Security Server
   • 修正パッチ (HotFix)の適用について
     VPN-1 / FireWall-1製品のSupportDesk契約されているお客様はSupportDesk WEB(後述)からダウンロード可能です。ログイン後、VPN-1 / FireWall-1の「重要なお知らせ」を選択し適用してください。
     またCheck Point社のダウンロードサイトにも同修正パッチ (HotFix) がアップされていますので適用してください。
     • Check Point社のアナウンス
       (英語)
       http://www.checkpoint.com/techsupport/alerts/security_server.html
       (日本語)
       http://www.checkpoint.co.jp/techsupport/alerts/security_server.html
     • SupportDesk WEB
       http://www.fujitsu-osc.ne.jp/
       (VPN-1 / FireWall-1製品のSupportDesk契約されているお客様はSupportDesk WEB(後述)からダウンロード可能です。ログイン後、VPN-1 / FireWall-1の「重要なお知らせ」を選択し適用してください。)
     • Check Point社のダウンロードページ
       http://www.checkpoint.com/techsupport/downloads/bin/
       firewall1/security_server_hotfix_cpsc.zip
3. ISAKMP
   • 影響を受けるリリースを使用している場合、Check Point社は、最新のCheck Point Next Generation with Application Intelligence R55へアップグレードすることを強く推奨しています。
     影響を受けるリリースを使用している場合でも、VPN暗号化ライセンス使用していなければ、影響ありません。
     
     この暗号化ライセンスを使用しているかどうかは、次のコマンド
     fw checklic encryption
     を実行することにより確認できます。
     
     VPN暗号化ライセンスを使用している場合は、VPN暗号化機能を使用不可とし、ISAKMPのチェックが入ったオブジェクトが存在しないことを確認してください。
     • Check Point社のアナウンス
       (英語)
       http://www.checkpoint.com/techsupport/alerts/41_isakmp.html
       (日本語)
       http://www.checkpoint.co.jp/techsupport/alerts/41_isakmp.html
     • SupportDesk WEB
       http://www.fujitsu-osc.ne.jp/

お問い合わせ先

富士通株式会社

アウトソーシング事業本部 セキュリティサービス統括部

ITマネージセンター プロダクトビジネスグループ

E-mail：pkg-info@security.support.fujitsu.com