ダイジェストアルゴリズムSHA-2への変更手順

Gléasが発行する電子証明書のダイジェストアルゴリズムのデフォルト設定を SHA-1からSHA-2への変更する方法を解説します。 設定手順PDF(4.2MB) SHA-1ハッシュ関数の脆弱性が指摘され、米国の国立標準技術研究所は、SHA-2への移行を勧告しました。 また2013年にMicrosoft社はルート証明書プログラムでの SHA-1ハッシュアルゴリズムの廃止を発表しました。...
続きを読む

glibcの脆弱性の影響

glibcは、Linux系システムにおいて標準Cライブラリとして使用されており、Gléas内の各アプリケーションも同ライブラリを利用しています。 今回発見された脆弱性(CVE-2015-0235)を悪用された場合、 攻撃者がリモートで細工されたホスト名文字列を送信することで、 アプリケーションに任意のコードを実行させることが可能となってしまいます。 対策 任意のコードを実行されてしまう可能性を残してしまうため、早急な対応が必要です。 修正パッチの適用により対処致します。 Gléas1.12.96までの全てのバージョンが対象です。対処方法については、弊社もしくは代理店までご連絡ください。...
続きを読む

ntpdの脆弱性の影響

ntpdは、時刻の同期に使用されているソフトウェアです。Gléasはntpdを用いて外部ntpサーバと時刻同期を行っています。 今回発見された脆弱性(CVE-2014-9293 CVE- 2014-9294 CVE-2014-9295 CVE-2014-9296)を悪用された場合、下記の脆弱性があります。...
続きを読む

SSLv3.0の脆弱性(CVE-2014-3566)の影響

SSLv3.0に脆弱性(CVE-2014-3556) が存在することが報告されました。 SSLv3.0は通信の暗号化に使用されているプロトコルであり、 PCブラウザとウェブサーバ間の通信を暗号化するために使われています。 今回発見された脆弱性を悪用された場合、通信内容の盗聴・なりすましが可能となり、 それによって秘匿情報が漏洩してしまう可能性がございます。 対策 Gléasでは、SSLv3.0を無効化することで、本脆弱性に対処致します。 Gléas 1.12.96 までの全てのバージョンが対象です。対処方法については、弊社もしくは代理店までご連絡ください。...
続きを読む

bashの脆弱性の影響

bash に脆弱性(CVE-2014-6271/CVE-2014-7169)が存在することが報告されました。 bash はUNIX系のシェルの一つであり、サーバ内の設定構築や運用・保守等、UNIX系OSで幅広く利用されています。 今回発見された脆弱性を悪用された場合、アクセス制限を無視して任意のコマンド等を実行出来てしまう可能性があります。 Gléasのウェブ管理画面については本脆弱性の影響はありません。 管理用にSSH経由の接続を行った際に影響が考えられますが、ご担当者様以外の第三者がSSHログインできないため、 本脆弱性を利用した悪意のあるbashのコマンド等を実行される可能性は低いと考えられます。 この脆弱性はGléasへただちに影響を与えるものではありませんが、bashシェルのアップデートを推奨します。...
続きを読む

OpenSSLの脆弱性の影響

OpenSSLに脆弱性(CVE-2014-0160)が存在することが報告されました。 OpenSSLは通信の暗号化に使用されているソフトウェアであり、 PCブラウザとウェブサーバ間の通信を暗号化するために使われています。 今回発見された脆弱性を悪用された場合、 本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏洩する可能性があります。 Gléasでは、脆弱性の原因となっている機能を使用していないため、影響を受けません。...
続きを読む
12