2016年3月11日-勧告: クロスプロトコル攻撃が可能な SSLv2 TLS の脆弱性 (DROWN) について
この勧告は、最近公表された脆弱性 JVNVU#90617353 (通称 DROWN, CVE-2016-0800) SSLv2 の脆弱性についてのものです。
詳細は
https://drownattack.com (英語)をご確認ください。
こちらで日本語の情報も確認できます。
http://jvn.jp/vu/JVNVU90617353/
インターシステムズの製品は SSLv2 を使用する事が可能なため、弊社製品をお使いのお客様でこの脆弱性の影響を受ける可能性があります。
SSLv2 のセキュリティレベルが低いことが知られているため、インストール時にこれを無効にすることが推奨されています。
インターシステムズのすべての製品のリリースバージョンではデフォルトで SSLv2 が無効になっています。
お使いの製品で SSL/TLS の設定を既定のままにされている場合は対策の必要はありません。
もしいずれかのシステムで SSLv2 を有効に変更されている場合、脆弱性の影響を受けないように SSLv2 を無効にする必要があります。
もしシステム間で秘密鍵を共有している場合はセキュリティリスクが深刻になるため SSLv2 の無効化をただちに行うようにしてください。
(弊社では秘密鍵を共有することはセキュリティ上の問題があるため推奨しておりません)
システムの管理者は弊社製品の管理ポータルまたはコマンドライン・ユーティリティを使用して、SSL/TLS 構成を変更することができます。
本件についてご質問等ございましたら インターシステムズジャパン・カスタマサポートセンターまでお知らせください。