CapsSuite製品はOpenSSL 0.9.8, 1.0.0の持つ、以下の脆弱性の影響を受けますか?
- JVNVU#91445763
- JVNVU#95668716
- JVNVU#93163809
- JVNVU#98667810
また、OpenSSLの当該バージョンは2015年末でサポートが終了していますが、CapsSuite製品はどのように対応するのでしょうか?
【本製品への影響】
2015年8月以降に公開されたOpenSSLの脆弱性のうち、本製品に影響のある脆弱性は以下のものとなります。
■OpenSSLに複数の脆弱性 (JVNVU#91445763)
CapsSuite V3.0~V4.0のマネージャコンポーネントが稼働するサーバ(統合サーバ)において、中間攻撃者によりTLS通信で512ビット輸出グレード暗号を使用させられたり、サービスの異常終了などのサービス運用妨害(DoS)攻撃を受ける可能性があります。
詳細につきましては、JVNVU#91445763の「想定される影響」をご参照ください。
■OpenSSL の DH プロトコルにおける脆弱性 (JVNVU#95668716)
CapsSuite V3.0~V4.0のマネージャコンポーネントが稼働するサーバ(統合サーバ)において、遠隔の第三者に復号のための鍵を入手され、機微な情報を取得される可能性があります。また、無効化しているはずのSSLv2の暗号化方式で通信が行われ、既知の脆弱性の影響を受ける可能性があります。
詳細につきましては、JVNVU#95668716の「想定される影響」をご参照ください。
■OpenSSL に複数の脆弱性 (JVNVU#93163809)
CapsSuite V3.0~V4.0のマネージャコンポーネントが稼働するサーバ(統合サーバ)において、任意のコードの実行や内部情報の漏えい、サービス運用の妨害(DoS)が発生する可能性があります。
詳細につきましては、JVNVU#93163809の「想定される影響」をご参照ください。
■OpenSSL に複数の脆弱性 (JVNVU#98667810)
CapsSuite V3.0~V4.0のマネージャコンポーネントが稼働するサーバ(統合サーバ)において、脆弱性を突かれ、本マネージャアプリケーションのクラッシュや、任意のコードの実行が発生する可能性があります。
詳細については、JVNVU#98667810の「想定される影響」をご参照ください。
【本製品での対応】
“【本製品への影響】”欄に挙げられた脆弱性は、本製品が利用しております基盤アプリケーションに含まれるOpenSSL 0.9.8, 1.0.0の脆弱性となります。
OpenSSL 0.9.8, 1.0.0は、本通知(2016年3月)公開時点で公式にサポートが終了しており、サポート終了後は修正パッチなどの公開予定がありません。
CapsSuite V3.0~V4.0製品では、OpenSSL当該バージョンを含む基盤アプリケーションWebOTX 製品を利用しているため、OpenSSLの脆弱性の影響を受けます。
CapsSuite V3.0~V4.0製品につきましては、バージョンアップ製品(V5.1)のリリースを行っており、V5.1では脆弱性の影響を受けないことを確認しているため、CapsSuite製品の最新バージョン(V5.1)へのバージョンアップをつ強くお勧め致します。