[2016/05/24] Open SSLの複数の脆弱性に関する弊社製品への影響について
掲載日 | May 24, 2016 |
|---|---|
最終更新日 |
|
2016年5月4日に公開された Open SSLの複数の脆弱性CVE-2016-2108, CVE-2016-2107, CVE-2016-2105, CVE-2016-2106, CVE-2016-2109, CVE-2016-2176 につきまして、弊社製品に関する調査を行いましたので、ここにご報告させていただきます。
OpenSSL の弊社製品での利用状況について
弊社製品の本脆弱性に関する状況は以下の通りです。
CVE-2016-2108
LDAP Managerが、不正なASN1のサーバ証明書を持つLDAPサーバにldaps接続する事で、システムまたはLDAPの例外によりLDAPサーバに接続できなくなる可能性があります。CVE-2016-2107
AES暗号を利用したldaps接続が、中間攻撃者によって盗聴や改ざんされる可能性があります。CVE-2016-2105
脆弱性が指摘されたメソッドをLDAP Managerは利用していませんが、OpenSSLまたはOpenLDAPが間接的に利用している可能性は否定できません。CVE-2016-2106
攻撃の実現性は不明ですが、脆弱性が指摘されたメソッドを ADパスワード同期フックモジュールが利用しています。CVE-2016-2109
LDAP Managerが、不正な ASN1のサーバ証明書を持つLDAPサーバにldaps接続する事で、システムまたはLDAPの例外により LDAPサーバに接続できなくなる可能性があります。CVE-2016-2176
LDAP ManagerはEBCDICシステムに対応していないため、影響ありません。
対応について
調査の結果、攻撃の実現性までは確認できていませんが、LDAP Managerは脆弱性の指摘されたバージョンのOpen SSLを使用していることが判明したため、Open SSLを脆弱性対策済みバージョンに置き換えた製品をリリースすることといたしました。
ご提供スケジュール
LDAP Managerの脆弱性対応版は、以下のスケジュールでご提供する予定です。
2016年6月1日(水)
LDAP Manager 6.7, LDAP Manager 6.52016年6月20日(月)
LDAP Manager 6.0, LDAP Manager 5.5, LDAP Manager 5.0
最新版モジュールをご希望のお客様は、サポートお知らせ一覧のお問い合わせ先までご連絡ください。