ページの先頭です。
ここから本文です。

お知らせ

【SECUREMASTER/EnterpriseIdentityManager】SSLv3の脆弱性(CVE-2014-3566)への影響と対策について

SECUREMASTER/EnterpriseIdentityManager(以降EIM)は、以下3つの通信において、SSLv3の脆弱性(CVE-2014-3566)の影響を受ける場合があります。 

①EIMリポジトリ(EDS)に対するLDAPS通信
②受信エージェントおよびAD Sync-Fに対するLDAPS通信
③EIMのWeb(Tomcat)に対するHTTPS通信


■影響

EIMのコンポーネントからはEIMリポジトリ(EDS)に対してSSL通信を行っておりませんが、別途EDSクライアント(※)を用いてSSL通信を行っており、EDSクライアントとEDSサーバの間に悪意ある中間者が入りこむリスクがある場合、影響を受けます。
※ edsearchやedmodifyなどのEDSコマンド、replicad、libldapを利用したクライアントAP など


EIMから連携先である受信エージェントおよびAD Sync-Fに対してSSL通信を行っている場合は影響を受けます。
SSL通信を行っているかどうかの確認方法は以下になります。
1. EIM管理ツールを起動し、コネクタ設定画面を開きます。
2. 利用しているコネクタを選択し、設定変更画面を開きます。
3. 基本設定タブの「SSL使用」にチェックが入っている場合、SSL通信を行っています。


EIMのWeb(Tomcat)に対してHTTPS通信を有効にしており、使用するSSLプロトコルからSSLv3を除外していない場合は、本脆弱性の影響を受けます。
Tomcat設定(server.xml)のHTTPS Connectorでは、SSLプロトコルについてはデフォルト「Protocol="TLS"」と設定されていますが、本設定の場合、SSLv3による接続も許可されます。


■回避策
①、②
回避策はありません。
対応策に記載する修正物件の適用をお願いします。


Tomcatの設定変更を行い、使用するSSLプロトコルからSSLv3を除外します。
設定手順は以下になります。

・EIMv4.X以前(Tomcat 5.5)
server.xmlを編集し、HTTPS ConnectorからsslProtocol属性を削除し、sslProtocols属性(末尾にsが付きます)で使用するSSLプロトコルを指定します。
      
Windows版:{EIMインストールパス}\WEBAP\TOMCAT\conf\server.xml
Linux版  :/opt/nec/eidm/webap/conf/server.xml

使用するSSLプロトコルをTLSv1、TLSv1.1、TLSv1.2にする設定例になります。
      -------------------------------------------
      <Connector port="8443" maxHttpHeaderSize="8192"
                 maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
                 enableLookups="false" disableUploadTimeout="true"
                 acceptCount="100" scheme="https" secure="true"
                 keystoreFile="XXXXX" keystorePass="XXXXX"
                 clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2" />
      -------------------------------------------
      
設定の反映にはTomcat再起動が必要になります。

・EIMv5.X(Tomcat 7.0)
server.xmlを編集し、HTTPS ConnectorからsslProtocol属性を削除し、sslEnabledProtocols属性(末尾にsが付きます)で使用するSSLプロトコルを指定します。

Windows版:{EIMインストールパス}\WEBAP\TOMCAT\conf\server.xml
Linux版  :/opt/nec/eidm/webap/conf/server.xml

使用するSSLプロトコルをTLSv1、TLSv1.1、TLSv1.2にする設定例になります。
      -------------------------------------------
      <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                 maxThreads="150" scheme="https" secure="true"
                 keystoreFile="XXXXX" keystorePass="XXXXX"
                 clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" />
      -------------------------------------------

設定の反映にはTomcat再起動が必要になります。


■対応策
本脆弱性について現時点では SSL通信を利用する限り運用等での回避方法は無く、修正物件を適用する必要がございます。

修正物件は下記ページにて公開中です。

[NEC社外向けURL]https://www.support.nec.co.jp/View.aspx?id=9010103633
[NEC社内向けURL]http://support.pf.nec.co.jp/View.aspx?id=9010103633

なお、修正物件は、製品が提供するLDAP C-API(libldap、libedldap)経由で製品同梱のSSLオプションのSSLライブラリを利用するもの(下記※参照)と、EDSサーバの間のSSL通信に対して脆弱性を回避する物件です。
※ edsearchやedmodifyなどのEDSコマンド、replicad、libldapを利用したクライアントアプリケーション など、クライアントが上記以外の場合、クライアント側でSSLv3を無効化頂く対応が必要となります。


■対応策による影響
①②
ありません。


ブラウザのTLS通信を有効にする必要があります。
以下のブラウザでは既定でTLS1.0が有効になります。
・Internet Explorer 7以降
・Firefox
・Safari

製品名カテゴリ

WebSAM SECUREMASTER
SECUREMASTER

  • コンテンツID: 3010101207
  • 公開日: 2014年11月05日
  • 最終更新日:2014年12月22日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。