OpenSSLのセキュリティ脆弱性(CVE_2014-0224)の影響について

Document created by Yasuyuki_Miura Employee on Jun 10, 2015Last modified by shunsuke_katakura on Mar 19, 2016
Version 2Show Document
  • View in full screen mode

文書番号:      JTEC000726

製品名:        CA Configuration Automation

バージョン:    12.7.x, 12.8

OS:            Windows

 

◆ 問題

OpenSSLには、下記の共通脆弱性識別子で、セキュリティ脆弱性が報告されていますが、CA Configuration Automation (CCA) に影響はありますか?

 

◆ 回答

CCAの旧バージョンでは、OpenSSL 0.9.8uを採用しています。 CVE-2014-0224で指摘されている脆弱性が存在しているバージョンとなります。

影響を受けるコンポーネントは、以下の通りです。

  • Entitlement Embedded Manager (EEM)
  • CCA Server
  • CCA Grid Node
  • CCA Network Discovery Gateway (NDG)
  • CCA Agent

 

CAサポートでは、この脆弱性に対応した、OpenSSL 0.9.8zaを採用した修正モジュールを用意しております。 修正モジュールは、EEM用とCCA用に分かれております。
修正モジュールの入手をご希望される場合は、CAサポートまでお問い合わせください。

尚、EEM以外のコンポーネントにつきましては、初期設定では、OpenSSLを使用していないため、必ずしも、CCA用修正モジュールを適用する必要はありません。 しかし、将来、セキュアな設定に変更する予定がある、あるいは下記の条件に1つでも該当する場合は、CCA用修正モジュールの適用を、ご検討ください。

 

EEM以外のコンポーネントで、OpenSSLが利用されているケース

  • [管理]メニュー - [サーバ]タブの[サーバ]一覧で、アクセスモードが「保護エージェント」になっているものが含まれている場合
    033080036_001.png
  • 管理ビューにアクセスするURLをセキュアにしている場合(httpの代わりに、httpsとなっている)
    033080036_002.png
  • [環境管理]メニュー - [ネットワーク]タブで、NDGの[保護されている]のステータスが[はい]になっている場合
    033080036_003.png

 

CCA 12.7 SP1より前のリリースにつきましては、すでにサポート終了、またはサポート終了日を発表させていただいております。 最新バージョンへのアップグレードをご検討ください。

Attachments

    Outcomes