[2014/06/09] OpenSSLにおける Change Cipher Specメッセージ処理の脆弱性に関する弊社製品への影響について
掲載日 | Jun 9, 2014 |
|---|---|
最終更新日 |
|
2014年6月6日に、独立行政法人 情報処理推進機構(IPA)より報告された、OpenSSL における Change Cipher Spec メッセージ処理の脆弱性 に関して、弊社製品の各バージョンを調査し、下記のように問題の発生がないことを確認いたしましたので、ここにご報告させていただきます。
OpenSSL の 弊社製品での利用状況について
弊社製品の今回の脆弱性に関する影響は以下の通りです。
LDAP Manager 4.0~6.5
該当する OpenSSL バージョンは実装しておらず、影響はありません。Password Assistant Suite
該当する OpenSSL バージョンは実装しておらず、影響はありません。LDAP Manager for Printing
該当する OpenSSL バージョンは実装しておらず、影響はありません。
※ サポートが終了しておりますLDAP Manager Ver 3.9以前のバージョンについても、同様に影響はございません。
尚、LDAP Managerの機能として暗号化通信が可能な部分は以下の通りです。
Webアプリケーションサーバから、メタディレクトリサーバへの通信
JAVAアプレットから、メタディレクトリサーバへの通信
Webアプリケーションサーバから、LDAP Manager本体への通信
JAVAアプレットから、LDAP Manager本体への通信
LDAP Manager から連携先LDAPサーバまたは、ActiveDirectoryサーバへの通信
上記のいずれにおいても、該当バージョンの OpenSSL は使用しておりません。
留意事項
LDAP ManagerによるID管理システムを構成するWebアプリケーション または JAVAアプレットを利用するクライアントPCからWebサーバまでのhttps通信や、メタディレクトリサーバへのldaps通信については、ご利用いただいているネットワーク機器やApache、Tomcat、LDAPなどの実装に依存します。
これらLDAP Manager周辺の各製品における脆弱性の影響と対応については、別途 ご担当者様・ご担当ベンダー様にご確認ください。