POODLE脆弱性 (CVE-2014-3566) に対する CA Service Desk Manager の対策方法

Document created by Kaori_K Employee on Aug 5, 2015
Version 1Show Document
  • View in full screen mode
文書番号JTEC002204
製品名Service Desk Manager
バージョン12.6, 12.7, 12.9, 14.1
OSWindows

 


 

◆ Description

 

弊社は2014年10月14日に公開されたPOODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれている、SSL (Secure Sockets Layer) version 3 における比較的危険度の高い (中度の危険度) 脆弱性のCA Service Desk Manager への影響について調査を行いました。

この問題は、一般的な脆弱性であり、CA 製品の脆弱性ではありません。

また、この脆弱性の詳細に関しましては、CVE-2014-3566 をご覧ください。

 

◆Solution

 

HTTPS プロトコル経由でCA Service Desk Manager を使用されている場合、SSL V3 を無効にする必要があります。

CABI のWeb サーバで SSLV3 を無効にするには、以下の手順で操作を行ってください。

 

Tomcat:

1. CA Service Desk Manager サーバ上で、Tomcatの設定ファイル server.xml 内の以下の行を検索し、変更を行います。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" />

 

2. 上記の行を以下のように変更します。

 

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

 

3. この設定ファイル server.xml は、以下のフォルダに保存されています。

 

   1) $NX_ROOT\bopcfg\www\CATALINA_BASE\conf

   2) $NX_ROOT\bopcfg\www\CATALINA_BASE_FS\conf

   3) $NX_ROOT\bopcfg\www\CATALINA_BASE_REST\conf

   4) $NX_ROOT\bopcfg\www\CATALINA_BASE_SA\conf

   5) $NX_ROOT\bopcfg\www\CATALINA_BASE_VIZ\conf

 

4. Service Desk Manager が 「標準」 で構成されている場合、この変更をプライマリサーバ、およびすべてのセカンダリサーバで行ってください。

Service Desk Manager が「高可用性」 で構成されている場合、この変更をバックグラウンドサーバ、スタンバイサーバ、およびすべてのアプリケーションサーバで行ってください。

 

注意:

A) CA Open Space と CA Unified Self Service では、上記の手順2) のように以下のパスに保存されている Server.xml ファイルを変更してください。

(Open Space インストールフォルダ)\OSOP\tomcat-***\conf

 

B) インストールされている Tomcat により、上記の手順2) で追加した記述ではなく、以下のような変更を行う場合があります。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2">

 

5. 設定変更後、変更を反映させるために Service Desk Manager のサービスを再起動します。

 

IIS:

Windows 上でSSL 3.0 プロトコルを無効にするには、以下の手順に従って操作を行ってください。

 

1. <スタート> ボタンをクリックし、「ファイル名を指定して実行」 を選択後、regedt32 または、regedit と入力し、<OK> をクリックします。

 

2. レジストリエディターで、以下のレジストリキーを検索します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

 

注意:上記のレジストリーキーが存在しない場合、適切な場所を開き、[編集] メニューから [新規] > [キー] を選択して作成できます。

 

3. [編集] メニューで [新規] > [DWORD (32ビット) 値] を選択します。

 

4. 値の名前に 「Enabled」 と入力します。

注意: すでに値が存在している場合、その値をダブルクリックし編集モードで開きます。

 

5. 「値のデータ」 フィールドに 0 と入力します。

 

6. <OK> をクリックし、コンピュータを再起動します。

 

CA Service Desk ManagerでCA Embedded Entitlements Managerを使用されているお客様は、以下の変更も追加で行っていただく必要があります。

 

Embedded Entitlements Manager:

EEM サーバ/iGateway は、SSL v23 がデフォルトのプロトコルとして使用されています。 (SSL2、SSL3 および TLS v1がサポートされています。)

EEM CPP SDK もデフォルトのプロトコルとして、SSL v23を使用しており、EEM Java SDK はデフォルトで TLS v1プロトコルを使用していますが、EEM SDK のこれらのプロトコルに対し、サーバ側で以下のように設定することができます。

 

1. EEM SDKの設定ファイル (Service Desk)/pdmconf/eiam.config で、C++ のiTechSDKのタグで以下のように変更を行います。

<TransportConfig>

     <!--possible values are SSLV23 /SSLV3/TLSV1-->

    <secureProtocol>TLSV1</secureProtocol>

</TransportConfig>

 

2. EEMサーバ上にある igateway.conf ファイルで、<Connector name="defaultport"> タグの配下で以下のようにプロトコルを TLS V1 に設定します。

      <secureProtocol>TLSV1</secureProtocol>

 

iTechnology:

1. igateway.confファイルの <Connector name="defaultport"> タグの配下で、以下のようにプロトコルをTLSV1に設定します。

      <secureProtocol>TLSV1</secureProtocol>

 

参考: http://wiki.apache.org/tomcat/Security/POODLE

 


 

このドキュメントはCA Support Onlineに掲載されているナレッジベース TEC1250834 を翻訳し加筆したものです。

Title: Remediation Steps to Secure CA Service Desk Manager from POODLE Vulnerability (CVE-2014-3566)

Attachments

    Outcomes