OpenSSL 1.0.1に含まれる脆弱性について(CVE-2014-0160)
本脆弱性は、SSLやTLSのプロトコルの問題ではなく、OpenSSLの実装に伴うものであり、
ScutumはJava実装を利用していることから、Scutumを経由した通信については、影響を
受けないものとなります。
また、Webサーバ側が影響を受けるバージョンを利用していた場合においても、Webサーバ
側のF/Wの設定などで、ScutumからのIPアドレスに接続を限定している場合は、本脆弱性
の影響は受けません。
しかしながら、Webサーバ側が影響を受けるバージョンであった場合は、影響がない状態に
バージョンアップして頂くことを推奨します。加えて、ScutumからのIPアドレスに接続を
限定していない場合などは、既に影響を受けた可能性もございますので、秘密鍵及びSSL
サーバ証明書の再発行をして頂くことを推奨します。
尚、Scutum側にアップロードして頂いた秘密鍵及びSSLサーバ証明書がWebサーバ側の
コピーであった場合は、Scutum側も再設定を行う必要がありますので、再度、秘密鍵及び
SSLサーバ証明書のアップロードを実施してください。
(Scutum側の証明書の再設定を行っていない状態で、証明書の失効を行った場合、正常に
接続できなくなる恐れもございます。)
[参考情報]
JVN : http://jvn.jp/vu/JVNVU94401838/index.html
JPCERT : https://www.jpcert.or.jp/at/2014/at140013.html
OpenSSL : https://www.openssl.org/
Hartbleed.com : http://heartbleed.com
本脆弱性は、SSLやTLSのプロトコルの問題ではなく、OpenSSLの実装に伴うものであり、
ScutumはJava実装を利用していることから、Scutumを経由した通信については、影響を
受けないものとなります。
また、Webサーバ側が影響を受けるバージョンを利用していた場合においても、Webサーバ
側のF/Wの設定などで、ScutumからのIPアドレスに接続を限定している場合は、本脆弱性
の影響は受けません。
しかしながら、Webサーバ側が影響を受けるバージョンであった場合は、影響がない状態に
バージョンアップして頂くことを推奨します。加えて、ScutumからのIPアドレスに接続を
限定していない場合などは、既に影響を受けた可能性もございますので、秘密鍵及びSSL
サーバ証明書の再発行をして頂くことを推奨します。
尚、Scutum側にアップロードして頂いた秘密鍵及びSSLサーバ証明書がWebサーバ側の
コピーであった場合は、Scutum側も再設定を行う必要がありますので、再度、秘密鍵及び
SSLサーバ証明書のアップロードを実施してください。
(Scutum側の証明書の再設定を行っていない状態で、証明書の失効を行った場合、正常に
接続できなくなる恐れもございます。)
[参考情報]
JVN : http://jvn.jp/vu/JVNVU94401838/index.html
JPCERT : https://www.jpcert.or.jp/at/2014/at140013.html
OpenSSL : https://www.openssl.org/
Hartbleed.com : http://heartbleed.com