Scroll
フォローする

【OZO】ManageOZOはOpenSSLの脆弱性問題「CVE-2014-0160」の影響を受けません

更新日

暗号化を処理するライブラリ「OpenSSL」で発見されたセキュリティ上の脆弱性「CVE-2014-0160(別名Heartbleed問題)」について
調査の結果、ManageOZOは影響を受けないことを確認いたしました。

※利用環境によっては追加情報がございます。後述の補足情報をご確認ください。

影響を受けない理由

ManageOZOでは、Webサーバーとして“Microsoft Windows Server製品に搭載のInternet Information Services(IIS)”を利用しております。

IISの提供元であるマイクロソフト社の情報によりますと、Microsoft Windows Server製品ではOpenSSLライブラリは含まれておらず、
暗号化には独自のコンポーネント(保護されたチャネル、別名SChannel)により処理しているため、CVE-2014-0160の影響を受けません。

従いまして、ManageOZOのWebサーバーへの影響はありませんでした。
同様にCVE-2014-0160に起因する情報流出もございません。
 

参考情報

マイクロソフト社IISに関する情報
Information about HeartBleed and IIS (外部サイトのページが開きます)

IPA(独立行政法人 情報処理推進機構)による注意喚起
OpenSSL の脆弱性対策について(CVE-2014-0160) (外部サイトのページが開きます)
 

補足情報
  ManageOZOのWebサーバー対して他社製品を経由してアクセスを行う場合
ManageOZOのWebサーバーに対して、プロキシサーバーやキャッシュサーバーおよび
VPN経由など他社製品のアプライアンス機器またはサービス等を経由したアクセスを行う環境下では、
他社製品の影響を受けます。
別途、アプライアンス機器やサービスの提供元へご確認をお願いいたします。

  Webサーバーの設定状況/脆弱性の有無をチェックするには
グローバルサイン社にてSSLサーバ証明書およびWebサーバーの暗号化設定に関するチェックツールが公開されています。
外部公開しているサイト限定にはなりますが、本件についても脆弱性の有無が確認できます。
 https://sslcheck.globalsign.com/ja (外部サイトのページが開きます)

 ⇒チェック結果の「その他の事項-Heartbleed Vulnerability」が合格なら安全です。

※この情報は他社ツールの簡易説明です。
ツールのご質問等は弊社ではお受けできず、結果についても保証するものではございません。
ツールのご質問等はグローバルサイン社へお問合せください。
この記事は役に立ちましたか?
1人中1人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください
Powered by Zendesk