実際にCVE-2014-0224の脆弱性の影響を受けるのは、
・SSLオプションがインストールされている
かつ
・下記 a), b), c) のいずれかのケース
です。ただし、SSLオプションがインストールされている場合、今後の設定変更によって脆弱性の影響を受けるリスクがあるため、修正物件を適用頂くことを推奨いたします。
a) EDS Ver8.0 Linux版のEDSサーバに対して、OpenSSLを利用したクライアントから
SSLでのLDAP通信(LDAPSまたはLDAP上のSTARTTLS)を行う。
b) EDS Ver6.0 以降のEDSサーバのレプリケーション機能を利用して、OpenSSL1.0.1系列
の内OpenSSL1.0.1g及びそれ以前を利用したLDAPサーバに対してSSLでのLDAP通信
(LDAPSまたはLDAP上のSTARTTLS)を行う(SSLを利用したLDAP連携)。
c) EDS Ver6.0 以降のEDSクライアントコマンド(esearchやedmodifyなど)を利用して
OpenSSL1.0.1系列の内OpenSSL1.0.1g及びそれ以前を利用したLDAPサーバに対して
SSLでのLDAP通信(LDAPSまたはLDAP上のSTARTTLS)を行う。
■SSLオプションがインストールされているかどうかの確認方法
EDSサーバがインストールされているマシン上で下記確認を実施してください。
[Linux]
# rpm -qa | grep -i eds-ssl
結果が「eds-ssl-X.Y-Z_xxx」の場合、SSLオプションがインストールされています。
X.Yはバージョン番号(6.0/6.1/7.0/7.1/8.0のいずれか)です。
[Windwos]
> dir "%PERCIOROOT%\bin" | findstr /i ssleay32.dll
結果に「ssleay32.dll」が表示される場合、SSLオプションがインストールされています。
[HP-UX]
# swlist | grep NEC_EDS_SSL
結果が「NEC_EDS_SSL 6.0 EnterpriseDirectoryServer(SSL)」の場合、SSLオプション
がインストールされています。
■a), b), c)のケースの確認方法
a) EDS Ver8.0 Linux版のEDSサーバに対して、OpenSSLを利用したクライアントから
SSLでのLDAP通信(LDAPSまたはLDAP上のSTARTTLS)を行う。
EDS Ver8.0 Linux版がインストールされているマシン上で下記確認を実施
してください。
# rpm -qa | grep -i eds-ssl
結果が「eds-ssl-8.0-Z_xxx」の場合、EDS Ver8.0 Linux版のSSLオプションが
インストールされています。
b) EDS Ver6.0 以降のEDSサーバのレプリケーション機能を利用して、OpenSSL1.0.1系列
の内OpenSSL1.0.1g及びそれ以前を利用したLDAPサーバに対してSSLでのLDAP通信
(LDAPSまたはLDAP上のSTARTTLS)を行う(SSLを利用したLDAP連携)。
EDSサーバがインストールされているマシン上で下記確認を実施してください。
[Linux]
grep usessl /etc/opt/nec/eds/replicad.conf
[Windows]
findstr usessl %windir%\EDS\replicad.conf
[HP-UX]
grep usessl /etc/ldapd/replicad.conf
※マルチサーバの場合、replicad.conf.{FriendryName}というファイル名に対して
コマンドを実行します。
コマンドの実行結果が「usessl ON」の場合、脆弱性CVE-2014-0224の影響を受ける
可能性があります。実際に影響があるのは、レプリケーション先のLDAPサーバの
SSL機能が、OpenSSL1.0.1系列の内OpenSSL1.0.1g及びそれ以前を利用している場合
です。
c) EDS Ver6.0 以降のEDSクライアントコマンド(esearchやedmodifyなど)を利用して
OpenSSL1.0.1系列の内OpenSSL1.0.1g及びそれ以前を利用したLDAPサーバに対して
SSLでのLDAP通信(LDAPSまたはLDAP上のSTARTTLS)を行う。
[Linux] [Windows] [HP-UX] 共通
edsearchやedmodifyなどのコマンドの接続先LDAPサーバがOpenSSL1.0.1系列の内
OpenSSL1.0.1g及びそれ以前を利用している場合に影響を受けます。接続先のLDAP
サーバが使用しているSSLのモジュールの確認は、接続先LDAPサーバのマニュアル
をご確認下さい。