■概要と影響
SSL3.0プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。
そのため、Carassuit各製品において、
以下の両条件を満たしている場合、通信の一部が第三者に漏えいする可能性があります。
・
WebRA、もしくはWeb申請オプションを利用されている
・上記Webサービスを提供する
IISにて、SSL3.0を利用されている
本脆弱性を利用した攻撃をするためには、中間者攻撃や、攻撃対象サーバに大量の通信を発生させるなど、一定の条件を満たす必要があるため、直ちに悪用可能な脆弱性ではありません。
対策の要否をご検討いただき、必要に応じて対策を実施願います。
■対策
Carassuitを運用しているサーバにて、SSL3.0を無効化することにより対策可能です。
マイクロソフト社から、Windows OSでSSL3.0を無効化する方法が公開されています。
以下のURLの「WindowsでSSL3.0を無効にする」以降を実施してください。
https://technet.microsoft.com/ja-jp/library/security/3009008.aspx
※SSL3.0を無効化することで、一部のクライアントから接続が
できなくなる可能性がございます。
※なお、IEの設定を変更することにより、クライアント側でSSL3.0を無効化することも
可能ですが、Carassuitに接続する全クライアントにて設定が必要となるため、
サーバ側でSSL3.0を無効化することを推奨いたします。