オープンソースのSSL/TLS暗号化ライブラリ、「OpenSSL」に、通信内容や認証情報など重要な情報を、攻撃者によって詐取/改ざんされる恐れがある深刻な脆弱性(CVE-2014-0224)が報告されました。
今回のOpenSSL脆弱性(CVE-2014-0224)は、サーバ側およびクライアント側で使用しているOpenSSLのバージョンが以下の組み合わせの場合に、影響を受けることが確認されています。
サーバ側
OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g およびそれ以前
クライアント側
OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g およびそれ以前
OpenSSL 1.0.0 系列のうち OpenSSL 1.0.0l およびそれ以前
OpenSSL 0.9.8 系列のうち OpenSSL 0.9.8y およびそれ以前
CSVIEW/Webアンケートでは、サーバ側の設定によりOpenSSLが利用可能となります。
1)下記のOSおよびバージョンの組み合わせの場合、サーバ側が使用するOpenSSLは
0.9.8系列であり、本脆弱性(CVE-2014-0224)の対象となるOpenSSLの組み合わせには
該当しないため、影響はございません。
・CSVIEW/WebアンケートV5.1 (Red Hat Enterprise Linux Server5)
・CSVIEW/WebアンケートV5.2 (Red Hat Enterprise Linux Server5)
2)下記のOSおよびバージョンの組み合わせの場合、サーバ側が使用するOpenSSLは
0.9.7系列となります。この場合も、本脆弱性(CVE-2014-0224)の対象となる
OpenSSLの組み合わせには該当しないため、影響はございません。
・CSVIEW/WebアンケートV4.0 (Red Hat Enterprise Linux ES3)
・CSVIEW/WebアンケートV5.0 (Red Hat Enterprise Linux ES4)
・CSVIEW/WebアンケートV5.1 (Red Hat Enterprise Linux ES4)
・CSVIEW/WebアンケートV5.2 (Red Hat Enterprise Linux ES4)
ただし、OpenSSL 0.9.7系列については、2007年2月23日をもってセキュリティパッチの提供が
終了しており、その後は問題が発見されても対処が行われない状態にあります。
上記2)のOS/バージョンの組合せでご利用の場合は、下記のいずれかの対策を実施して、
最新のセキュリティ対策が施されたOpenSSLを利用して頂くことを推奨いたします。
a)OpenSSLのみバージョンアップを行う。
具体的には、OpenSSLのサイト(http://www.openssl.org/source/)より、
openssl-0.9.8za.tar.gz のソースコードを入手・ビルドして、
システムにOpenSSL 0.9.8za を適用していただく。
b)CSVIEW/WebアンケートV5.2 (Red Hat Enterprise Linux Server5)にバージョンアップし、
最新のセキュリティパッチを適用していただく。
上記a)、b)の適用手順の詳細については、サポートポータルからお問い合わせください。