SECUREMASTER/EnterpriseDirectoryServerはSSLv3の脆弱性(CVE-2014-3566)の影響を受ける場合があります。
Windows版、HP-UX版のEDS、およびバージョンが7.1以前のLinux版EDSの場合
影響:
EDSクライアントとEDSサーバの間に悪意ある中間者が入りこむリスクがある場合、影響
を受けます。
回避策:
ありません。EDS Ver7.1以前のSSLオプションでは、SSLv3、TLSv1をサポートしています
が、SSLv3を無効化できません。
対応策:
修正物件は下記のダウンロードサイトで順次提供します。
ダウンロードサイト
物件の提供スケジュールは以下です。
Ver6.1 Windows/Linux 2014年10月28日(火) 公開済み
Ver7.0 Windows/Linux 2014年10月30日(木) 公開済み
Ver7.1 Windows/Linux 2014年11月04日(火) 公開済み
LDAP Java API (edldap.jar) 個別提供予定
Ver6.0 Windows/Linux/HP-UX 未定
なお、対応物件は、EDSが提供するLDAP C-API(libldap、libedldap)経由でEDS同梱の
SSLオプションのSSLライブラリを利用するもの(下記※1、※2参照)と、EDSサーバの間
のSSL通信に対して脆弱性を回避する物件です。
※1 EDSが提供する LDAP Java API (edldap.jar)については、SSLv3を無効化できる
物件を提供予定です。下記窓口までご連絡ください。
EDSサポート窓口:directory@cced.jp.nec.com
※2 edsearchやedmodifyなどのEDSコマンド、replicad、libldapを利用したクライアント
アプリケーション など、クライアントが上記以外の場合、クライアント側でSSLv3を
無効化頂く対応が必要となります。
バージョン8.0 Linux版EDSの場合
影響:
EDSクライアントとEDSサーバの間に悪意ある中間者が入りこむリスクがある場合、影響
を受けます。
回避策:
EDSサーバ側でSSLv3を無効化することで回避できます。ただし、TLSv1.2 に対応して
いるクライアントからしか SSLでの通信ができなくなりますのでご注意ください。
EDS Ver8.0のクライアントコマンドやレプリケーションはTLSv1.2をサポートしており下記
SSLv3の無効化を行っても問題はありません。SSLv3を無効化するには、EDSサーバ上
で以下のコマンドを実行します。
# /opt/nec/eds/bin/edconfig -h localhost -p EDSポート番号 -D EDS管理者のDN -W
password? ****** (EDS管理者のパスワードを入力します)
mode? (view/add/delete/replace/end) replace
item name? ldapSSLCipherSuite
item value? DEFAULT:!DH:!SSLv3
-----------------------
Configuration information was updated
replace ldapSSLCipherSuite: DEFAULT:!DH:!SSLv3
mode? (view/add/delete/replace/end) end
上記の後、EDSを再起動してください。
# /opt/nec/eds/bin/EDREPD stop (レプリケーションを行っている場合)
# /opt/nec/eds/bin/EDAGENT stop
# /opt/nec/eds/bin/EDAGENT start
# /opt/nec/eds/bin/EDREPD start (レプリケーションを行っている場合)
EDS Linux版バージョン確認手順
以下のコマンドの実行結果で確認します。表示されるモジュール名「eds-ssl-X.Y-Z_xxx」の
X.Yがバージョン番号(6.0/6.1/7.0/7.1/8.0のいずれか)です。
# rpm -qa | grep -i eds-ssl