[2016/05/24] Open SSLの複数の脆弱性に関する弊社製品への影響について

Owned by EXGEN-OP
7月 06, 2018
掲載日

最終更新日 


2016年5月4日に公開された Open SSLの複数の脆弱性CVE-2016-2108, CVE-2016-2107, CVE-2016-2105, CVE-2016-2106, CVE-2016-2109, CVE-2016-2176 につきまして、弊社製品に関する調査を行いましたので、ここにご報告させていただきます。


OpenSSL の弊社製品での利用状況について

弊社製品の本脆弱性に関する状況は以下の通りです。

  • CVE-2016-2108
    LDAP Managerが、不正なASN1のサーバ証明書を持つLDAPサーバにldaps接続する事で、システムまたはLDAPの例外によりLDAPサーバに接続できなくなる可能性があります。

  • CVE-2016-2107
    AES暗号を利用したldaps接続が、中間攻撃者によって盗聴や改ざんされる可能性があります。

  • CVE-2016-2105
    脆弱性が指摘されたメソッドをLDAP Managerは利用していませんが、OpenSSLまたはOpenLDAPが間接的に利用している可能性は否定できません。

  • CVE-2016-2106
    攻撃の実現性は不明ですが、脆弱性が指摘されたメソッドを ADパスワード同期フックモジュールが利用しています。

  • CVE-2016-2109
    LDAP Managerが、不正な ASN1のサーバ証明書を持つLDAPサーバにldaps接続する事で、システムまたはLDAPの例外により LDAPサーバに接続できなくなる可能性があります。

  • CVE-2016-2176
    LDAP ManagerはEBCDICシステムに対応していないため、影響ありません。




対応について

調査の結果、攻撃の実現性までは確認できていませんが、LDAP Managerは脆弱性の指摘されたバージョンのOpen SSLを使用していることが判明したため、Open SSLを脆弱性対策済みバージョンに置き換えた製品をリリースすることといたしました。




ご提供スケジュール

LDAP Managerの脆弱性対応版は、以下のスケジュールでご提供する予定です。

  • 2016年6月1日(水)
    LDAP Manager 6.7, LDAP Manager 6.5
  • 2016年6月20日(月)
    LDAP Manager 6.0, LDAP Manager 5.5, LDAP Manager 5.0

最新版モジュールをご希望のお客様は、サポートお知らせ一覧のお問い合わせ先までご連絡ください。