[2014/10/20] SSL 3.0 脆弱性の LDAP Managerにおける影響について

SSL v3 脆弱性への対策として推奨されている SSL 3.0の無効化を実施した場合、以下の弊社製品において影響があります。

• LDAP Manager 本体 (全てのバージョン)
• Password Assistant (全てのバージョン)
• 前処理プログラム (Ver6.5のみ)

LDAPサーバ側で SSL 3.0 を無効化した場合、上記の製品は LDAPSを使用したLDAPサーバとの暗号化通信に失敗し、動作いたしません。これらの製品は、LDAPサーバとの接続に際して SSL 3.0 のみを使用しており、これをTLSに代替して通信することができません。

大変ご迷惑をおかけいたしますが、対応完了製品に置き換えるまでの間、SSL 3.0 の無効化設定はお待ちいただくよう、お願い申し上げます。

上記製品では、LDAPサーバとの通信に Novell社提供の LDAP SDKを使用しております。この Novell社の LDAP SDKが TLS非対応であることが判明したため、Novell社製品の最新版を含むいくつかの同等製品の中で、TLSに対応している製品を調査しました。

その結果、OpenLDAP LDAP SDKが TLSに対応できていたため、今回の脆弱性に該当する製品の全てを Novell社の SDKから OpenLDAPの SDKに置き換える改修を実施いたしました。

なお、今回の改修版を適用していただくにあたり、お客様へお願いする作業はモジュールの置き換えのみとなりますが、下記の 1点に該当する場合のみ現在の設定情報を修正する必要があります。

• SSL証明書に記述されているホスト名と、LDAP Managerコンソール [基本設定] - [ディレクトリ設定] 画面で指定しているホスト名が異なる場合
  →証明書に記載されているホスト名にLDAP Manager側の設定を修正してください。

今回の改修対象となる LDAP Managerのバージョンは、4.5 ～ 6.5となります。

対応製品は下記のスケジュールにてご提供いたします。

• 2014年12月22日 (月)
  バージョン 6.5（Password Assistant, 前処理モジュールを除く）
  
• 2015年1月23日 (金)
  バージョン 6.0（Password Assistant 6.5、前処理モジュール6.5を含む）
  
• 2015年1月30日 (金)
  バージョン 5.5 ～ 4.5

最新版モジュールをご希望のお客様は、サポートお知らせ一覧のお問い合わせ先までご連絡ください。