2021/1/22

【脆弱性情報】 [OFFICE20210122-1] OpenSSLに関する脆弱性

2021/1/22 掲載

GigaCC OFFICEにおいて、セキュリティの脆弱性に関する問題が発見されました。
ご確認いただき必要に応じて対策の実施をお願いいたします。


■ 脆弱性内容

GigaCC OFFICEで使用しているOpenSSLについて以下の脆弱性が存在します。

一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)
OpenSSLの脆弱性 (CVE-2020-1971) に関する注意喚起
URL: https://www.jpcert.or.jp/at/2020/at200048.html


本脆弱性はCRL(証明書失効リスト)のチェックが有効である場合に影響するものであり、GigaCC OFFICEではCRLのチェックを有効化しておらず、本脆弱性の影響を受けません。

なお、お客様にてGigaCC OFFICEサーバ側のhttpd(apache)設定を変更しCRLチェックを有効化している場合、以下の対策方法を実施いただけますようお願いいたします。


■ 対象製品およびバージョン

GigaCC OFFICEの全バージョン


■ 対策方法

※お客様にてGigaCC OFFICEサーバ側のhttpd(apache)設定を変更しCRLチェックを有効化している場合のみ、本対策が必要となります。

Red Hat社より、OpenSSLに関するセキュリティアップデートが提供されておりますので、以下の手順にて適用をお願いいたします。

URL: https://access.redhat.com/security/cve/CVE-2020-1971
※OSがRHEL6の場合、本脆弱性の修正バージョンはELS(Extended Life-cycle Support)による提供となり、Red Hat社とのELS契約が必要となります。


適用手順
1.GigaCC OFFICEサーバにroot権限でログインしてください。
2.以下のコマンドでOpenSSLを最新バージョンにアップデートしてください。
 yum update openssl
 ※[y]でアップデート実行となります
3.httpd(apache)を再起動してください。 ※GigaCCとの通信が瞬断します
 OSがRHEL6の場合: service httpd restart
 OSがRHEL7の場合: systemctl restart httpd


■ お問い合わせ先

本内容についてご不明な点がございましたら、弊社サポートまでお問い合わせください。