i-FILTER Ver.10
i-FILTER Ver.9
i-FILTER Reporter
m-FILTER
D-SPA
D-SPA Manager
DigitalArts@Cloud
i-FILTER ブラウザー&クラウド Ver.3/Ver4
FinalCode
m-FILTER MailAdviser
お知らせ
サポート終了製品

URLをクリップボードにコピーしました
FAQ_URL:https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=3101
  FAQ_ID:3101
Business > i-FILTER Ver.9 > その他
Business > m-FILTER > その他
Business > D-SPA > その他
Business > i-FILTER ブラウザー&クラウド Ver.3/Ver4
Business > FinalCode
Business > サポート終了製品 > i-FILTER Ver.8.5 > その他
Business > サポート終了製品 > i-FILTER Ver.8.0 > その他
Business > サポート終了製品 > i-FILTER Ver.7 > その他
 
【脆弱性】CVE-2014-3566「POODLE: SSLv3.0 脆弱性」の製品影響および対応方法を教えてください
対応バージョン:すべての製品
対応OS:全てのOS


CVE-2014-3566「POODLE: SSLv3.0 脆弱性」の影響について弊社製品の
対応状況を記載します。以下よりご利用の製品を選択してください。


■i-FILTER

■i-FILTER Reporter

■i-FILTER Log Search


■m-FILTER

■D-SPA

■FinalCode

■i-FILTER ブラウザー&クラウド



□ クライアント(ブラウザー)側による対応



■i-FILTER
──────────────────────────────────
■影響の有無

 
SSL Adapter デコード非対象通信(CONNECT通信)

  ご利用のブラウザー設定に依存します。
  ブラウザー側で「SSL 3.0」を利用している場合は、脆弱性の影響を受ける可能性があります。
  ブラウザー側の対応方法は、こちらをご確認ください。


 SSL Adapter デコード対象通信

  ブラウザー設定に関係なく、「i-FILTER」側でSSL Adapter有効時の通信で
  SSL 3.0を有効にしている場合に影響を受けます。

  ※SSL Adapterは、Ver.8までは有償オプション、Ver.9では
   標準搭載(デフォルト有効)となります



・対応(SSL Adapter デコード対象通信)

 [Ver.9][Ver.8]
  管理画面にてSSL 3.0 を無効にすることで対応が可能です。設定変更後、
  「保存」ボタンをクリックしてください。設定の反映にはサービス再起動が必要です。

 「設定箇所」
 
[ オプション / SSL Adapter / 基本設定 ]
 
 ※画像は「i-FILTER Ver.9」管理画面です


 [Ver.7]
  「i-FILTER Ver.7」では使用するプロトコルを選択することができません。
  「i-FILTER Ver.7」かつSSL Adapter をご利用の場合、現状での対応には以下をご検討ください。

  ・「i-FILTER Ver.8」以降へのバージョンアップ
  ・SSL Adapter 無効化の上、ブラウザー側での対応を実施



■「i-FILTER」管理画面への通信

 
SSL管理画面(デフォルト無効)を有効にしている場合、暗号化プロトコルにSSL 3.0が
 使用されているため、脆弱性に該当します。

 ただし、管理画面への通信は基本的に社内ネットワークの通信を想定しており、
 この場合、脆弱性の影響は少ないものと考えます。

 脆弱性への対応を行う場合は、「i-FILTER」へアクセス可能なIPアドレスを制限し、
 アクセスするブラウザ側で「TLS 1.1」や「TLS 1.2」に固定してください。

  ※詳細な設定についてはブラウザの提供元へご確認ください



■ライセンス管理サーバーへの通信

 2014年11月4日午前11時より、ライセンス管理サーバーに対する「SSL 3.0」通信の
 無効化対応を実施しています。





■i-FILTER Reporter
──────────────────────────────────

HTTPS通信を使用しない製品のため、本脆弱性には該当しません。





■i-FILTER Log Search
──────────────────────────────────

ライセンス管理サーバーへの通信のみ、HTTPS通信を使用していますが、
2014年11月4日午前11時より、ライセンス管理サーバーに対する「SSL 3.0」通信の
無効化対応を実施しています。





■m-FILTER
──────────────────────────────────
[Ver.4]
 最新バージョンにて、本脆弱性の対応「TLS_FALLBACK_SCSV」機能を搭載しています。

 ■TLS_FALLBACK_SCSV使用

 
TLS_FALLBACK_SCSVとは、クライアント側が上位のプロトコルバージョン(TLS1.2等)に
 対応していない場合に、サーバー側がプロトコルバージョンのレベルを下げて
 (フォールバック)通信を行うのを制限する機能となります。

 この対応を行うためには、サーバーとクライアントの両方で対応している必要があります。

 「m-FILTER」のサーバー機能(HTTPSやSMTPSなど)では自動的に有効となります。
 「m-FILTER」のクライアント機能(メール配送など)ではパラメータを有効にすることにより
 フォールバックの制限が有効となります。

 「m-FILTER」のサーバー機能では、上位のプロトコルバージョンはTLS1.2となるため、
 TLS_FALLBACK_SCSVに対応したクライアントは、TLS1.2で接続要求した場合のみに
 接続が可能となります。

 例1.
  外部のアプリケーションから「m-FILTER」に接続する場合(サーバー機能)
  TLS_FALLBACK_SCSVに対応した外部のクライアント(ブラウザーや
  メールクライアントなど)はTLS1.2で接続要求した場合に接続が可能となり、
  TLS1.1やTLS1.0では接続不能となります。

  外部のクライアントがTLS_FALLBACK_SCSVに対応していない場合はTLS1.1や
  TLS1.0であっても接続は可能となります。

 例2.
  「m-FILTER」から外部のメールサーバーに接続する場(クライアント機能)
  TLS_FALLBACK_SCSVを有効にした「m-FILTER」から、TLS_FALLBACK_SCSVに
  対応したメールサーバー(TLS1.2)に接続する場合、通信暗号化設定が自動または
  TLS1.2の場合に接続が可能となり、TLS1.1以下のバージョンでは接続不能となります。

  「m-FILTER」または外部のメールサーバーがTLS_FALLBACK_SCSVに対応していない
  場合はTLS1.1以下のバージョンであっても接続は可能となります。

  「パラメータ有効方法」

   1. 設定ファイル編集
    「ファイルパス」
     <インストールディレクトリ>/conf/mf_eweb.def
    
    「対象パラメーター」
     TLS_FALLBACK_SCSV_ENABLE = ON

   2. 「m-FILTER」サービスを再起動

 「TLS_FALLBACK_SCSV」機能を使用しない場合、もしくは「Ver.4.10R01」以前の
 バージョンでは、管理画面へのアクセスおよび、メール通信にSSL 3.0が
 指定されている場合に以下の対応をご検討ください。

 ■対応(メール通信)

  SMTP、POPいずれかで暗号化通信を有効にしている場合は、
  暗号化通信を「TLS 1.1」や「TLS 1.2」に設定する必要があります。

   ・メール送信サーバー設定
  

   ・POPサーバー設定
  

 ■対応(管理画面通信)

  HTTPS通信を行っている場合、下記いずれかの対応が必要になります。

  1 HTTPS通信プロトコルを変更

   「m-FILTER」管理画面で使用するHTTPS通信プロトコルを「TLS 1.1」もしくは
   「TLS 1.2」に変更することができます。
   
   ・対象ファイル
   {インストールディレクトリ}/conf/mf_eweb.def

   ・パラメーター

   --管理画面-------------------
   HTTPS_SSL_VERSION = SSL23
    ↓
   HTTPS_SSL_VERSION = TLS2
    or
   HTTPS_SSL_VERSION = TLS3
   -----------------------------

   --利用者向けメール管理画面----------------
   RWEB_HTTPS_SSL_VERSION = SSL23
    ↓
   RWEB_HTTPS_SSL_VERSION = TLS2
    or
   RWEB_HTTPS_SSL_VERSION = TLS3
   ---------------------------------------

     TLS2 ・・・ TLS1.1を設定する場合
     TLS3 ・・・ TLS1.2を設定する場合
    ※設定反映にはサービス再起動が必要です

  2 IPアドレスによる制限

  「m-FILTER」へアクセス可能なIPアドレスを制限し、アクセスするブラウザ側で
  「TLS 1.1」や「TLS 1.2」に固定する

   ※ブラウザー側の対応方法は、こちらをご確認ください。



[Ver.3][Ver.2]
 SSL 3.0による通信は行われないため、脆弱性の影響はありません。


■ライセンス管理サーバーへの通信

 2014年11月4日午前11時より、ライセンス管理サーバーに対する「SSL 3.0」通信の
 無効化対応を実施しています。







■D-SPA 
──────────────────────────────────
■影響の有無

 
・SSL Adapter デコード非対象通信(CONNECT通信)

  ご利用のブラウザー設定に依存します。
  ブラウザー側で「SSL 3.0」を利用している場合は、脆弱性の影響を受ける可能性があります。
  ブラウザー側の対応方法は、こちらをご確認ください。


 ・SSL Adapter デコード対象通信

  ブラウザー設定に関係なく、「i-FILTER」側でSSL Adapter有効時の通信で
  SSL 3.0を有効にしている場合に影響を受けます。

 ※SSL Adapterは、Ver.8までは有償オプション、Ver.9では
  標準搭載(デフォルト有効)となります

  
参考:「SSL Adapter」紹介サイト
  http://www.daj.jp/bs/i-filter/old/option_relation_ssl_adapter/


■対応(SSL Adapter デコード対象通信)

 管理画面にてSSL 3.0 を無効にすることで対応が可能です。設定変更後、「保存」ボタンを
 クリックしてください。設定の反映にはプロキシ再起動が必要です。

 「設定箇所」
 
プロキシ設定 / SSL Adapter / 基本設定 ]
 


「i-FILTER」管理画面への通信

 
SSL管理画面(デフォルト無効)を有効にしている場合、暗号化プロトコルにSSL 3.0が
 使用されているため、脆弱性に該当します。

 ただし、管理画面への通信は基本的に社内ネットワークの通信を想定しており、
 この場合、脆弱性の影響は少ないものと考えます。

 脆弱性への対応を行う場合は、「i-FILTER」へアクセス可能なIPアドレスを制限し、
 アクセスするブラウザ側で「TLS 1.1」や「TLS 1.2」に固定してください。

  ※ブラウザー側の対応方法は、こちらをご確認ください。


■ライセンス管理サーバーへの通信

 2014年11月4日午前11時より、ライセンス管理サーバーに対する「SSL 3.0」通信の
 無効化対応を実施しています。





■FinalCode
──────────────────────────────────
 Finalcode では、ASPサーバー(クラウド版)との通信にHTTPSを使用していますが、
 2014年11月4日午前11時より、「SSL 3.0」通信の 無効化対応を実施しています。




■i-FILTER ブラウザー&クラウド
──────────────────────────────────
[Windows版 Ver.3.0]

 ご利用のブラウザー設定に依存します。
 ブラウザー側で「SSL 3.0」を利用している場合は、脆弱性の影響を受ける可能性があります。
 ブラウザー側の対応方法は、こちらをご確認ください。


[Windows版 Ver.3.5]

 ブラウザーからクライアント内部のi-FILTER を経由後にHTTP リクエストをします。
 この際、「TLS」「SSL 3.0」両方の暗号化通信に対応しています。
 
 接続するWebサイトがTLS対応している場合はTLSで通信が行われます。
 「SSL 3.0」にのみに対応している場合は「SSL 3.0」で通信がおこなわれます。

 「TLS」「SSL 3.0」両方に対応している場合は、通常TLSで通信が行われますが、
 「SSL 3.0」で通信がおこなわれる可能性もあります。


[Android版]
 
 ご利用のOSに依存します。
 OS側でSSL3.0を利用するように設定されている場合は、脆弱性の影響を受けます。
 
 本脆弱性の影響や対応方法等、詳細はOSサポートにご確認ください。


[iOS版]

 ご利用のOSに依存します。
 OS側でSSL3.0を利用するように設定されている場合は、脆弱性の影響を受けます。
 
 本脆弱性の影響や対応方法等、詳細はOSサポートにご確認ください。


[サーバー側(ライセンス管理サーバー、管理画面、端末登録サーバー等)]

 サーバー通信にHTTPSを使用していますが、2014年11月4日午前11時より、
 「SSL 3.0」通信の 無効化対応を実施しています。




□ クライアント(ブラウザー)側による対応
──────────────────────────────────
※ 手順や発表内容の詳細については、各ブラウザー提供元にご確認ください

 ・Internet Explorer

 Internet Explorerでは、「マイクロソフト セキュリティ アドバイザリ 3009008」に
 よって、SSL 3.0 のサポートを無効にできます。

 手動で設定変更する場合には、
 [ ツール / インターネットオプション / 詳細設定(タブ) ]から「SSL 3.0を使用する」を
 無効にします。


 ・ FireFox

 Mozillaは11月25日にリリース予定の「Firefox 34」でSSL 3.0のサポートを
 無効にすると
発表しています。 

 現行バージョンでは、以下の手順にて「SSL 3.0」を無効にできます。

 1 検索バーに「about:config」を入力し、「プログラムの高度な設定」を実施
 
 2 「security.tls.version.min」の値を「1」に設定無効にします。

  ※ security.tls.version.min が表示されない場合は、FireFoxの
    バージョンアップをご検討ください


 ・ Chrome

 Google Chromeでは、近日中の対応を
発表しています。

 現行バージョンでは、以下のコマンドでChromeを実行することで利用する最も低い
 暗号化プロトコルを「TLS 1.0」に設定できます。

 Chrome.exe -ssl-version-min=tls1







 
関連コンテンツ
「i-FILTER」VER.7~Ver.9 「D-SPA」Ver.2~Ver.3...
【脆弱性】CVE-2015-1793(OpenSSL 1.0.2/1.0.1の脆...
【脆弱性】CVE-2015-0235(GHOST)の製品影響および対応方法教えて...
「サポート情報サイト」ログイン時の「シリアルNo.」と「お客様E-Mailアドレ...
「i-FILTER」 Windows Server 環境で特定Webサイト(Ya...
 

感動しました
解決しました
参考になりました
もっと詳しく
わかりにくい
問い合わせます