/
[2014/10/20] SSL 3.0 脆弱性の LDAP Managerにおける影響について

[2014/10/20] SSL 3.0 脆弱性の LDAP Managerにおける影響について

Owned by EXGEN-OP
7月 06, 2018
掲載日

最終更新日 


2014年10月17日より、独立行政法人 情報処理推進機構(IPA)より報告されております SSL 3.0 の脆弱性 につきまして、弊社製品の影響を調査いたしました。ここにご報告させていただきます。


SSL 3.0 脆弱性対策を実施した際の、弊社製品の影響について

SSL v3 脆弱性への対策として推奨されている SSL 3.0の無効化を実施した場合、以下の弊社製品において影響があります。

  • LDAP Manager 本体 (全てのバージョン)
  • Password Assistant (全てのバージョン)
  • 前処理プログラム (Ver6.5のみ)

LDAPサーバ側で SSL 3.0 を無効化した場合、上記の製品は LDAPSを使用したLDAPサーバとの暗号化通信に失敗し、動作いたしません。これらの製品は、LDAPサーバとの接続に際して SSL 3.0 のみを使用しており、これをTLSに代替して通信することができません。

大変ご迷惑をおかけいたしますが、対応完了製品に置き換えるまでの間、SSL 3.0 の無効化設定はお待ちいただくよう、お願い申し上げます。




対象製品の改修について

上記製品では、LDAPサーバとの通信に Novell社提供の LDAP SDKを使用しております。この Novell社の LDAP SDKが TLS非対応であることが判明したため、Novell社製品の最新版を含むいくつかの同等製品の中で、TLSに対応している製品を調査しました。

その結果、OpenLDAP LDAP SDKが TLSに対応できていたため、今回の脆弱性に該当する製品の全てを Novell社の SDKから OpenLDAPの SDKに置き換える改修を実施いたしました。

なお、今回の改修版を適用していただくにあたり、お客様へお願いする作業はモジュールの置き換えのみとなりますが、下記の 1点に該当する場合のみ現在の設定情報を修正する必要があります。

  • SSL証明書に記述されているホスト名と、LDAP Managerコンソール [基本設定] - [ディレクトリ設定] 画面で指定しているホスト名が異なる場合
    →証明書に記載されているホスト名にLDAP Manager側の設定を修正してください。

今回の改修対象となる LDAP Managerのバージョンは、4.5 ~ 6.5となります。




ご提供スケジュール

対応製品は下記のスケジュールにてご提供いたします。

  • 2014年12月22日 (月)
    バージョン 6.5(Password Assistant, 前処理モジュールを除く)
  • 2015年1月23日 (金)
    バージョン 6.0(Password Assistant 6.5、前処理モジュール6.5を含む)
  • 2015年1月30日 (金)
    バージョン 5.5 ~ 4.5


最新版モジュールをご希望のお客様は、サポートお知らせ一覧のお問い合わせ先までご連絡ください。