OpenSSL の DROWN 脆弱性 (CVE-2016-0800) について
先日 OpenSSL についての脆弱性が発表されました。アイビーシーの提供製品に対する影響について調査を実施いたしましたので以下に記載いたします。
OpenSSL の DROWN 脆弱性 (CVE-2016-0800)
本脆弱性は、SSLv2 を利用している場合に遠隔の攻撃者により秘密鍵などの重要な情報を取得される問題があると報告がございます。
○詳細は下記 URL を参照ください。
https://www.jpcert.or.jp/at/2016/at160010.html
https://www.openssl.org/blog/blog/2014/12/23/the-new-release-strategy/
■ 対象製品
| System Answer | ISA-LSH 、ISA-SH 、ISA-RSH 、ISA-BSH |
|---|---|
| System Answer G2 Appliance | Light 、RAID 、Virtual |
| System Answer G2 Software | Enterprise Ware 、Datacenter Ware |
■ 調査結果
| System Answer | ISA-LSH 、ISA-SH 、ISA-RSH 、ISA-BSH |
|---|
Ver 01.29.00 以降で脆弱性に対応した修正を行っております。
以前のバージョンをご利用している場合はアップデートをご検討ください。
| System Answer G2 Appliance | Light、RAID、Virtual |
|---|
Ver 02.10.00 以降で脆弱性に対応した修正を行っております。
以前のバージョンをご利用している場合はアップデートをご検討ください。
| System Answer G2 Software | Enterprise Ware 、Datacenter Ware |
|---|
対象のパッケージを使用されている場合は影響対象となりますが、SSLv2 を無効にすることでリスクを軽減することができます。
■対策
| System Answer G2 Software | Enterprise Ware 、Datacenter Ware |
|---|
ディストリビュータが提供する情報をもとに、OpenSSL を最新バージョンにアップデートすることを推奨します。
なお、脆弱性(CVE-2016-0800)の回避策として最新バージョンにアップデートすることが困難である場合は SSLv2 を無効にすることをご検討ください。
以上
