サイト内の現在位置を表示しています。

SSLおよびTLSプロトコルに脆弱性

掲載番号:NV10-008脆弱性情報識別番号:VU#120541

概要

SSLおよびTLSプロトコルには、renegotiation機能に脆弱性が存在します。ユーザとサーバの通信を中継可能な攻撃者に、通信データの先頭に任意のデータを挿入される可能性があります。

対象製品

CSVIEW

影響の有無

影響あり

攻撃者にこのセキュリティホールを利用された場合、 リモートから中間者攻撃 (man-in-the-middle attack) を受ける可能性があります。

対象となる製品のバージョン

全バージョン(V2, V4, V5)のうち、SSL通信設定を行っているサーバ

CSVIEW/Webアンケート、ならびにCSVIEW/FAQナビのSSL通信にOpenSSL 0.9.8l未満を使用している場合は脆弱性があります。

対処方法

各製品のバージョンと対応OSによってパッチ適用方法が異なります。

(1)CSVIEW/WebアンケートV2、V4の場合
Redhat社から提供されている下記のセキュリティパッチを適用してください。

(2)CSVIEW/WebアンケートV5の場合
Redhat社から提供されている下記のセキュリティパッチを適用してください。

(3)CSVIEW/FAQナビV5.1の場合
下記のApache公式サイトよりOpenSSL 0.9.8mのWindows版のMSIインストーラ 「httpd-2.2.15-win32-x86-openssl-0.9.8m-r2.msi」を入手してください。
インストールされているApache 2.2.8をアンインストール後、Apache2.2.15のインストールを行ってください。
Apacheの再インストールを行った場合でも、コンフィグレーションファイルの内容は引き継がれます。

WebSAM AssetSuite

影響の有無

影響あり

対象となる製品のバージョン

全バージョン

AssetSuiteのバージョンにより影響が異なります。
詳細は次の通りです。

AssetSuite v1.x
AssetSuite v2.x
・第三者にユーザ(もしくは、エージェント)とマネージャ間の通信データが漏洩する。

AssetSuite v3.x
・第三者にエージェントインストーラ、もしくは、文書が漏洩する。

[原因]
IISはセキュリティプロトコルとして、PCT 1.0、SSL 2.0、SSL 3.0、および、TLS 1.0をサポートしており、 HTTPS通信時にいずれかのセキュリティプロトコルを選択する実装となっています。
IISを導入しているサーバにおいてPCT 1.0 を無効化した場合、 セキュリティプロトコルとして SSL 2.0、SSL 3.0、および、 TLS 1.0 のいずれかが選択されることになり、 本脆弱性に該当します。

対処方法

[回避策]
次の対処を実施します。

・IISを導入しているサーバにおいてPCT 1.0 を有効化する。

なお、AssetSuite v3.x における AssetSuite の影響については、 当該ファイル(エージェントインストーラ、もしくは、文書)を ローカルアクセスすることでも回避可能です。

参考情報

Japan Vulnerability Notes JVNVU#120541:
SSL および TLS プロトコルに脆弱性

US-CERT VU#120541:
SSL and TLS protocols renegotiation vulnerability

CVE
CVE-2009-3555:

更新情報