■ 発生条件・確認方法
CSVIEW/WebアンケートWebアンケートのパッケージに内包しているOpenSSLにはDiffie-Hellman 鍵交換を行うプログラムを使用した場合、中間者攻撃が可能となる脆弱性(Raccoon Attackの問題,CVE-2020-1968(※1))が報告されています。
対応サーバの有無については、①もしくは②の手順で確認してください。
①アカウントIDによる確認方法
アカウントIDでログイン後、右下奥にある「バージョン情報」のリンクをクリックします。
バージョン情報が「CSVIEW/Webアンケート Ver5.5.X」であることを確認します。
②管理者IDによる確認方法
管理者IDでシステム管理画面にログインし、メインメニューよりシステム情報の「閲覧」ボタンを
クリックします。バージョン情報が「ACTIVECR-5.5.0-0.x86_64」であることを確認します。
■ 回避方法
Red Hat Enterprise Linux 7に対するセキュリティパッチ(※2)が提供されない見込みです。回避策適用のため下記のCSVIEW/Webアンケートサーバのファイルを修正します。
- 対象ファイル
・/esatg/config/ssl_front.conf (アンケート公開画面のssl設定ファイル)
・/esatg/config/ssl_manage.conf (アンケート管理画面のssl設定ファイル)
- 修正内容
「SSLCipherSuite」の定義の"ALL:"の後に"!DH:"を追加してください。
【修正前】
SSLCipherSuite ALL:!ADH:!EXPORT56:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:!aNULL:!eNULL
【修正後】
SSLCipherSuite ALL:!DH:!ADH:!EXPORT56:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXP:!aNULL:!eNULL
■ 修正物件提供時期
CSVIEW/Webアンケートとしての修正物件の提供は予定しておりません。
※1
https://jvn.jp/vu/JVNVU91973538/
※2
https://access.redhat.com/security/cve/CVE-2020-1968