製品・サービス

サポート情報

2010/01/25

プライベートCA GléasにおけるTLS/SSL脆弱性(CVE-2009-3555)の影響について

TLS/SSLv3プロトコルに脆弱性(CVE-2009-3555)が存在することが報告されましたので、弊社製品であるプライベートCA Gléas(以下、Gléas)への影響と対策方法をご説明します。

概要

TLS/SSLは通信の暗号化に使用されているプロトコルであり、Gléasでは管理者PCのブラウザと認証局サーバの間の通信の暗号化に使われています。今回発見された脆弱性により、この通信の間に入った第三者によりデータの盗聴および改ざんが行われる可能性があります。この脆弱性はTLS/SSLの特定の処理を行うときにのみ発生することがわかっていますので、その処理を行わないように設定を変更することが推奨されています。

詳細

今回発見された脆弱性はTLS/SSLのリネゴシエーションという処理を行う際にのみ発生する可能性があります。TLS/SSLでは通信の最初にクライアントとサーバが証明書を交換して認証を行ったり、お互いにサポートしている暗号アルゴリズムのリストを交換して実際に使用するアルゴリズムを決定する処理を行います。これをTLS/SSLのネゴシエーションといいます。リネゴシエーションとはすでに暗号化通信を行っているクライアントとサーバの間で、再度このネゴシエーションを行うことを指します。

Gléasのトップページは認証なしでアクセスできますので、そこから証明書認証が必要なRAやIAの管理画面にログインする際にリネゴシエーションが発生しています。

この脆弱性はアプリケーションではなくプロトコルに対するもので、現時点では完全に解決する対策方法は見つかっていません。

影響を受けるバージョン

プライベートCA Gléas バージョン 1.5.55(2010/01/25 リリース)以前のすべてのバージョン。

推奨される対策方法

TLS/SSLのリネゴシエーションを行わないように設定を変更します。設定変更作業にかかる費用などの詳細については弊社営業までお問い合わせください。

UA(ユーザ用ダウンロード画面)を利用されていないお客様

Gléasのすべてのページに対して証明書認証を有効にすることにより、リネゴシエーションが発生しないように設定を変更いたします。

UA(ユーザ用ダウンロード画面)を利用されているお客様

UAには証明書による認証を行うことができませんので、証明書認証が必要な管理者用のサイトと証明書認証を行わないエンドユーザ用のサイトでホスト名を分けてるように設定を変更いたします。

製品のバージョンアップによる対策について

プライベートCA Gléas バージョン 1.5.55(2010/01/25 リリース)で、この脆弱性に対する対策を行っています。バージョンアップ費用および新バージョンの機能の詳細につきましては、弊社営業までお問い合わせください。