FAQ・マニュアル
メニュー
OpenSSLの脆弱性に関する対応について
- OCSP Status Request にサービス運用妨害 (DoS)について(CVE-2016-6304)(2016/11/11更新)
- MITM攻撃につながる問題(CVE-2014-0224)について(2014/6/9)
- Heartbleed問題(CVE-2014-0160)について(2014/4/23)
OCSP Status Request にサービス運用妨害 (DoS)について(CVE-2016-6304)
(2016/10/03)(2016/11/11更新)
概要(ライセンス共通)
日本時間の2016年9月23日に暗号化ソフトウエアライブラリである「OpenSSL」の複数の脆弱性が公表されました。
その中でもX.509公開鍵証明書の失効状態を取得するために必要な通信プロトコル、OCSPのステータスリクエスト拡張による無制限のメモリ増大(CVE-2016-6340)は
悪意あるDoS攻撃を誘発することが可能なことから「重要度:高」に位置づけられています。
本脆弱性はOpenSSLのバージョンを最新版(1.0.2j)に上げることで解消されます。
問題の詳細についてはこちらをご参照ください。
クラウドライセンス
全サーバーのOpenSSLのバージョンが最新版(1.0.2j)に更新されています。現時点で今回報告された脆弱性によるリスクはございません。
オンプレミスライセンス
現在サポート対象となっているすべてのバージョンのISL Conference Proxyが該当します。
今回の脆弱性に対応したOpenSSLを最新版(1.0.2j)にアップグレードするISL Conference Proxyのインストーラーをご用意いたしましたので、
現在ご利用のISL Conference Proxyのバージョンに応じてバージョンアップを行うか、最新版(ISL Conference Proxy 4.2.10)にアップグレードしていただきますようお願いいたします。
ご利用中のISL Conference Proxyのバージョンの確認方法、バージョンアップの手順は以下をご参照ください。
▼ISL Conference Proxyのバージョンの確認方法
1. ISL Conference Proxyの管理画面にログインします。
2. 左メニュー Manage softare > Overviewをクリックします。
3.「Modules」欄のISL Conference Proxyの「version」と「Platform」を確認します。
例:上記の場合、「ISL Conference Proxy 4.2.9」(32bit版)をご利用中です
▼バージョンアップの手順
1. 最新版のインストーラーをダウンロードします。
※ご利用中のISL Conference Proxyが「32bit」の場合は「32bit OS用」 のインストーラーを、
「64bit」の場合は「64bit OS用」のインストーラーをダウンロードしてご利用ください。
[現在ISL Conference Proxy 4.2.9をご利用の場合]
▼32bit OS用
ISL Conference Proxy 4.2.10 (32bit版)
▼64bit OS用
ISL Conference Proxy 4.2.10 (64bit版)
[現在ISL Conference Proxy 4.1.5または4.1.2をご利用の場合]
▼32bit OS用
ISL Conference Proxy 4.1.6 (32bit版)
▼64bit OS用
ISL Conference Proxy 4.1.6 (64bit版)
[現在ISL Conference Proxy 3.5.8、3.5.7、3.5.2、3.4.4または3.4.0をご利用の場合]
▼32bit OS用
ISL Conference Proxy 3.5.9 (32bit版)
▼64bit OS用
ISL Conference Proxy 3.5.9 (64bit版)
2. ISL Conferece Proxyのサービスを停止します。
3. 1でダウンロードしたISL Conference Proxyのインストーラーを実行します。
4. ISL Conference Proxyの画面が表示されます。管理者アカウントでログインし、左メニュー内のManage Software > Overviewをクリックします。
5.「Modules」のISL Conference Proxyのバージョンが「4.2.10」「4.1.6」または「3.5.9」になっていることを確認します。
MITM攻撃につながる問題(CVE-2014-0224)について(2014/6/9)
クラウドライセンス・オンプレミスライセンス共通
日本時間の2014年6月5日に暗号化ソフトウエアライブラリである「OpenSSL」の脆弱性「Man-in-the-middle (MITM) 攻撃が可能な脆弱性(CVE-2014-0224)」が公表されましたが、本脆弱性はサーバーとクライアントの両方でOpenSSLを使用した通信を行った場合のみ影響します。
ISL Online製品のログインページ、ワンタイム接続(ISL Light)、常駐接続(ISL AlwaysOn)のクライアント側ではOpenSSLを使用していないため、本脆弱性の影響はありません。
Web会議(ISL Groop)は海外でリリースを行った過去(2010年頃)のバージョンを使用した場合に本脆弱性の影響はございますが、日本でリリースを行ったバージョン(2.4.2および2.4.3)では本脆弱性の影響はありません。
問題の詳細についてはこちらをご参照ください。
Heartbleed問題(CVE-2014-0160)について(2014/4/23)
クラウドライセンス
日本時間の2014年4月7日に暗号化ソフトウエアライブラリである「OpenSSL」の脆弱性「Heartbleed問題(CVE-2014-0160)」が公表されましたが、クラウドライセンスでは4月8日に脆弱性問題の修正された「1.0.1g」へのバージョンアップを行っております。
OpenSSLの問題の詳細についてはこちらをご参照ください。
オンプレミスライセンス
日本時間の2014年4月7日に暗号化ソフトウエアライブラリである「OpenSSL」の脆弱性「Heartbleed問題(CVE-2014-0160)」が公表されました。オンプレミスライセンスの「ISL Conference Proxy 3.5.2」ではOpenSSLのバージョン「1.0.1c」を使用しているため、本問題の影響を受ける可能性がございます。
対応策といたしましては、4月23日(水)に脆弱性の問題が修正されたOpenSSLのバージョン「1.0.1g」が含まれる「ISL Conference Proxy 3.5.7」のリリースを予定しております。
なお、ISL Conference Proxy 3.5.2より前のバージョンでは、使用しているOpenSSLのバージョンが「0.9.8i」であるため、上記脆弱性の問題は該当しません。
OpenSSLの問題の詳細についてはこちらをご参照ください。
