平素より、弊社PassLogic クラウド版サービスをご利用いただき誠にありがとうございます。
海外のセキュリティ研究者により、RADIUSプロトコル(RADIUS認証)の脆弱性(Blast-RADIUS)が公開されました。
■CVE(Blast-RADIUS)
https://nvd.nist.gov/vuln/detail/CVE-2024-3596
■JVN iPedia脆弱性対策情報データベース
https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-004327.html
■Blast-RADIUSに関する情報(英文)
https://www.blastradius.fail/
https://blog.cloudflare.com/radius-udp-vulnerable-md5-attack/
PassLogic クラウド版では、RADIUS連携による認証サービスを提供しております。
安心してサービスをご利用いただくために、PassLogicクラウド版のサーバーに対して、セキュリティ対策のためのメンテナンス作業を実施いたします。
当社では上記の脆弱性が公開されてから
- 本対策実施によるRADIUS連携サービスを利用するお客様への影響について調査
- 本対策実施における最適なパラメータの精査と検証/動作確認の実施
- 上記の1と2から、最適な運用パラメータの検討
を行いました。
なお、Blast-RADIUSの脆弱性情報が公開されて以降に提供された修正用のパッケージは既に適用済となり、RADIUS連携サービスをご利用されているお客様への影響が発生しないよう細心の注意を払い暫定運用しております。
この度、お客様へのサービス影響および動作確認の結果を元に、2024年12月1日にセキュリティを向上させた本運用への切り替え作業を実施いたします。
本運用への切り替えに伴い、当社ではRADIUSクライアント側でRADIUS認証時に“Message-Authenticator”を付与する設定を推奨いたします。
※RADIUSクライアントへの“Message-Authenticator”設定方法につきましては、お手数ですがご使用されているRADIUSクライアント機の製品ベンダーまでお問い合わせいただけますよう、お願いいたします。
今後とも、より一層の製品およびサービス向上に努めて参りますので、変わらぬご愛顧を賜りますよう何卒よろしくお願い申し上げます。