security」タグアーカイブ

SSLv3 POODLE 脆弱性対応 (CVE­-2014­-3566)

 こんにちは。SSLv3 POODLE 脆弱性対策についてご報告します。tracpathはPOODLE: SSLv3.0 脆弱性 (CVE-2014-3566)の対策を実施済みです。(2014-10-17)

SSL 3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。サーバ、クライアント間の通信において、SSL 3.0 を使用している場合、通信の一部が第三者に漏えいする可能性があります。
ただし、攻撃には複数の条件が必要で、例えば、中間者攻撃や、攻撃対象に大量の通信を発生させるなど一定の条件が必要になります。そのためただちに悪用可能な脆弱性ではありません。

[IPA] SSL 3.0 の脆弱性対策について(CVE-2014-3566)
https://www.ipa.go.jp/security/announce/20141017-ssl.html

[Redhat] POODLE: SSLv3.0 脆弱性 (CVE-2014-3566)
https://access.redhat.com/ja/articles/1232403

OpenSSL の脆弱性に関する注意喚起(HeartBleed[CVE-2014-0160]

 
 

tracpath のサービスは影響ありません

こんにちは、オープンソースの暗号化ライブラリである OpenSSL の脆弱性が発表された2014年4月7日以降大きな騒ぎになっており、多くのニュースに取り上げられました。

お客様よりセキュリティに対するお問い合せがあったため、ブログ記事として公開させて頂きます。
tracpath は OpenSSL を利用していますが、脆弱性の影響はありません。脆弱性発表があった以降、すべてのサービスについて調査を実施し、影響がないことを確認しております。

[JPCERT/CC]OpenSSL の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140013.html

[IPA]OpenSSL の脆弱性対策について(CVE-2014-0160)
http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
[IPA]OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について
http://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html

もし、脆弱性のある OpenSSL を利用していたら…

証明書の秘密鍵とユーザのパスワード・セッションクッキーの漏えいが主なリスクです。
つまり、証明書は再発行する必要があり、利用者のパスワードは再設定が必要になります。