■概要と影響
StarOffice X は、CVE-2014-3566で報告されているSSL 3.0の脆弱性により、暗号化したはずの通信が盗聴されるおそれがあります。
【影響を受ける動作】
・StarOffice Xの各Web機能に対してHTTPSにて接続を行った場合
・メールクライアントによりPOP3s、IMAP4s、SMTPs接続を行った場合
・POP3/IMAP4/SMTP通信において、STLSもしくはSTARTTLSにより暗号化通信を利用した場合*
*補足:広く利用されているインターネット上での通信 (HTTP、POP3、IMAP4、SMTP等) は、もともと暗号化はされていません。 したがって、これらの通信は今回の脆弱性とは関係なく盗聴に対して保護されておりません。
■対策
【StarOffice Xをインストールしているサーバにおける対応】
メールサーバの管理画面(ManagementConsole)を除くWebサーバへの通信は、IISの設定にて脆弱性のあるSSL 3.0通信を禁止することができます。
下記の記事をご参照の上、Webサーバのグループポリシーを変更してください。
(マイクロソフト社のページのためリンクが変更される場合があります。)
SSL 3.0 の脆弱性により、情報漏えいが起こる
https://technet.microsoft.com/ja-jp/library/security/3009008
→ 「推奨するアクション」
→ 「回避策の適用」
→ 「Windows で SSL 3.0 を無効にする」
【クライアントPCにおける対応】
メールサーバの管理画面(ManagementConsole) にアクセスする場合は、クライアントPCのブラウザの設定にてSSL 3.0を無効にしてください。
Internet Explorerの設定変更方法については下記の記事をご参照ください。
(マイクロソフト社のページのためリンクが変更される場合があります。)
SSL 3.0 の脆弱性により、情報漏えいが起こる
https://technet.microsoft.com/ja-jp/library/security/3009008
→ 「推奨するアクション」
→ 「回避策の適用」
→ 「Internet Explorer で SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする」
また、StarOffice X のWebメール画面ではなくOutlook等のメールクライアント製品をご利用の場合は、クライアントPCのメールクライアントの設定にてSSL 3.0を無効にしてください。
なお、StarOffice X のメールサーバのPOP3s/IMAP4s/SMTPsの暗号化通信、およびPOP/IMAP4/SMTPをSTLS/STARTTLSで利用した場合の暗号化通信において、SSL 3.0 を無効化しTLSのみとする方法は現在存在しません。StarOffice X のWebメールではなくメールクライアントをご利用の場合は、クライアントPCにおける対応をご利用願います。SSL 3.0 を無効化し、TLSのみとする手段の提供については、具体的な方針・計画が決まり次第、情報公開いたします。