EXGEN Networks Co., Ltd.
ホーム > インフォメーション

インフォメーション

[重要] Open SSLの複数の脆弱性に関する弊社製品への影響について

2016年5月24日

お客様各位

平素は弊社製品のご活用ならびにお取扱いをいただき、大変感謝申し上げます。
2016年5月4日に公開された Open SSLの複数の脆弱性 ( CVE-2016-2108, CVE-2016-2107, CVE-2016-2105, CVE-2016-2106, CVE-2016-2109, CVE-2016-2176 )につきまして、弊社製品に関する調査を行いましたので、ここにご報告させていただきます。よろしくお願い申し上げます。

Open SSL の
弊社製品での利用状況について

弊社製品の本脆弱性に関する状況は以下の通りです。
※LDAP Manager全バージョン (5.0~6.7) の全てに該当します。

CVE-2016-2108  :  LDAP Managerが、不正な ASN1のサーバ証明書を持つ LDAPサーバに ldaps接続する事で、システムまたは LDAPの例外により LDAPサーバに接続できなくなる可能性があります。
CVE-2016-2107  :  AES暗号を利用した ldaps接続が、中間攻撃者によって盗聴や改ざんされる可能性があります。
CVE-2016-2105  :  脆弱性が指摘されたメソッドを LDAP Managerは利用していませんが、OpenSSLまたは OpenLDAPが間接的に利用している可能性は否定できません。
CVE-2016-2106  :  攻撃の実現性は不明ですが、脆弱性が指摘されたメソッドを ADパスワード同期フックモジュールが利用しています。
CVE-2016-2109  :  LDAP Managerが、不正な ASN1のサーバ証明書を持つ LDAPサーバに ldaps接続する事で、システムまたは LDAPの例外により LDAPサーバに接続できなくなる可能性があります。
CVE-2016-2176  :  LDAP Managerは EBCDICシステムに対応していないため、影響ありません。

対応について

調査の結果、攻撃の実現性までは確認できていませんが、LDAP Managerは脆弱性の指摘されたバージョンの Open SSLを使用していることが判明したため、Open SSLを脆弱性対策済みバージョンに置き換えた製品をリリースすることといたしました。

ご提供スケジュール

LDAP Managerの脆弱性対応版は、以下のスケジュールでご提供する予定です。

LDAP Manager 6.7
LDAP Manager 6.5
 : 2016年6月1日(水)
LDAP Manager 6.0
LDAP Manager 5.5
LDAP Manager 5.0
 : 2016年6月20日(月)

本件に関するお問い合わせ先

エクスジェン・ネットワークス株式会社
〒101-0052東京都千代田区神田小川町1-11 千代田小川町クロスタ11F

担当 : 営業部
TEL : 03-3518-8055 FAX : 03-3518-8056 
E-Mail : elm@exgen.co.jp