製品・サービス

サポート情報

2014/06/09

プライベートCA Gléasにおける OpenSSL の脆弱性(CVE-2014-0224)の影響について

OpenSSL に脆弱性(CVE-2014-0224 SSL/TLS MITM vulnerability) が存在することが報告されましたので、弊社製品であるプライベートCA Gléas への影響をご説明します。

概要

OpenSSL は通信の暗号化に使用されているソフトウェアであり、PCのブラウザとウェブサーバの間の通信を暗号化するために使われています。今回発見された脆弱性を悪用された場合、通信内容の盗聴、改ざんが可能となる可能性があります。

Gleas への影響について

この脆弱性は 15年以上前の OpenSSL の初期バージョンから存在しているものですが、最新のバージョンである 1.0.1系列において実際の攻撃が可能となったものです。

Gléas のウェブ管理画面では OpenSSL 0.9.8系のライブラリを使用していますが、このバージョンについての有効な攻撃方法は現在のところ報告されていません。また、クライアント証明書認証を利用している場合はこの脆弱性の影響を受けないことが、複数の研究者により報告されています。

この脆弱性は Gléas の通信の安全性にただちに影響を与えるものではありませんが、将来的にこの問題を利用した攻撃方法が解明される恐れがあるため修正パッチの適用を推奨します。

影響を受けるバージョン

プライベートCA Gléas 1.11.94 までの全てのバージョン。
各バージョンにおける修正パッチの適用方法については、弊社もしくは代理店までご連絡ください。

参考資料