テクノブレスト株式会社
その他の製品
テクノブレスト株式会社
その他の製品

安全なファイル転送と共有
Windows 用 FTP/MFT サーバー
EnterpriseDT ー エンタープライズディティ

バージョン25.0.6 – セキュリティ アドバイザリー

セキュリティ アドバイザリー

概要

CompleteFTP 25.0.6 をリリースしました。このバージョンには、2つの重要なセキュリティアップデートが含まれており、詳細は下記をご覧ください。早急なアップグレードをお勧めします。

1つ目の問題は、脆弱なSSH暗号に関するものです。今すぐアップグレードしたくない場合は、下記に記載するように、CompleteFTP マネージャーアプリケーションでこれらの暗号を無効にすることができます。

2つ目の問題は、Azure Application Gateway や F5 などのロードバランサーまたはリバースプロキシの背後で HTTPS 通信を使用して CompleteFTP を使用しているユーザーにのみ関係します。アップグレードするか、コネクションプールを無効にする必要があります。これは FTPS や SFTP には影響しません。

1.弱い暗号アルゴリズム(SSH)

CompleteFTP の以前のバージョンでは、3DES や Blowfish などの一部の脆弱な SSH アルゴリズムがデフォルトで有効になっていました。また、特定の CBC モードアルゴリズム(CBC モードの AES-128、AES-192、AES-256 を含む)は、タイミングベースの攻撃に対して脆弱である可能性があります。

バージョン 25.0.6 での変更点:

– 新規インストールおよび管理サイトで、すべての CBC ベースのアルゴリズムをデフォルトで無効にします。
– これらのアルゴリズムが有効になっている既存のインストールに対して、CompleteFTP マネージャーは強い警告を表示します。

推奨されるアクション(すぐに25.0.6にアップグレードできない場合)

(1) Standard および Professional エディションの場合
デフォルトサイト
• 設定パネルを開きます。
• SFTP/SCP → 詳細 SFTP/SCP → アルゴリズム に移動します。
• 使用可能な暗号 を開き、TripleDES、Blowfish、AES128、AES192、AES256 のチェックを外します。
• 変更を適用します。

管理サイト(該当する場合)
• 管理パネルを開きます。
• 「管理者の詳細接続設定を表示」をクリックします。
• SFTP/SCP → 詳細 SFTP 設定 → アルゴリズム に移動します。
• 使用可能な暗号 を開き、TripleDES、Blowfish、AES128、AES192、AES256 のチェックを外します。
• 変更を適用します。

(2) Enterprise MFT エディションの場合
• 「サイト」パネルを開きます。
• 警告に表示されている影響を受けるサイトごとに、以下の手順を実行します。

– サイトがシステムサイト(管理者など)の場合は、表示されていることを確認します。
   1. 左側のサイドバーで、「オプション」を開きます。
   2. 「システムユーザー/フォルダー/サイトを表示」にチェックを入れます。

– 影響を受けるサイトを選択します。
– 「SFTP/SCP」→「詳細設定」→「アルゴリズム」に移動します。
– 「使用可能な暗号」を開き、「TripleDES」、「Blowfish」、「AES128」、「AES192」、「AES256」のチェックを外します。

• 変更を適用します。

これらの変更により、SSH サイトは既知の暗号の脆弱性から保護されます。

上記の変更ができない場合の対応方法

クライアントがこれらの暗号をまだ使用しているかどうかが不明で、既に 25.0.6 にアップグレード済みの場合は、次の手順に従ってください。

    1.  監査を有効にし、サーバーを数日間稼働させてください。
    2.  監査ログを確認し、クライアントがネゴシエートした SSH アルゴリズムを確認してください(この機能は 25.0.6 でのみ利用可能)。
    3. TripleDES、Blowfish、AES128、AES192、または AES256 を使用しているクライアントがいない場合は、これらを無効にしても問題ありません。

2. コネクションプールの脆弱性(HTTP/HTTPS)

CompleteFTP 25.0.6 より前のバージョンは、複数のクライアントでバックエンド TCP 接続を再利用するコネクションプール型ロードバランサー/ゲートウェイの背後にデプロイされた場合、HTTPS セッションのコンタミネーション(汚染)に対して脆弱です。

例:
• Azure Application Gateway
• F5 BIG-IP
• AWS Application Load Balancer (ALB)
• バックエンド接続の再利用が設定されている NGINX またはその他のリバースプロキシ

コネクションプールが有効になっている場合、複数のクライアントセッションが単一のバックエンド接続を共有できるため、ユーザー間でセッションが重複する可能性があります。これは FTPS と SFTP には適用されず、HTTPS のみに適用されます。

バージョン 25.0.6 では、バックエンド接続が再利用される場合でも、各ユーザーのセッション状態が完全に分離されるようにすることで、この問題を解決しています。

推奨されるアクション(すぐに25.0.6にアップグレードできない場合)

• CompleteFTP の手前にロードバランサまたはリバースプロキシを使用している場合は、コネクションプールを無効にします

3. バージョン25.0.6の修正点の概要

  • 解決済み: コネクションプール型ロードバランサーにおけるHTTPSセッション コンタミネーションの脆弱性。
  • 更新: 新規インストールおよび管理サイトのデフォルトの暗号設定(3DES、Blowfish、CBC暗号を無効化)。
  • 追加: 脆弱なアルゴリズムが有効なままの場合、CompleteFTP Managerで管理者向けに自動セキュリティ警告を表示。

4. CompleteFTP 利用者への推奨

できるだけ早くCompleteFTP 25.0.6へのアップグレードをお勧めします。
CompleteFTP 25.0.6 は、カスタマーポータルからダウンロードできます。

すぐにアップグレードできない場合は、上記の設定調整を適用して、安全な運用を維持してください。