OpenSSLライブラリの脆弱性(CVE-2016-0800)に関するサイボウズ製品への影響について(2016/3/4)
平素よりサイボウズ製品をご利用いただき誠にありがとうございます。
2016年3月2日にJPCERTコーディネーションセンターより発表されました、OpenSSLライブラリの脆弱性(CVE-2016-0800)につきまして、弊社製品への影響を下記の通りご報告申し上げます。
■ 本脆弱性について
この脆弱性は、暗号化通信内容を解読される可能性がある脆弱性です。攻撃者はSSLv2をサポートしている脆弱なサーバから暗号化された通信内容を解読することが可能です。
詳細はOpenSSL の複数の脆弱性に関する注意喚起をご参照ください。
■ サイボウズ製品・サービスへの影響と対応
- パッケージ製品(「サイボウズ Office」、「デヂエ」、「ガルーン」、「メールワイズ」)
この脆弱性は製品の脆弱性ではないため、特に対策を講じません。
なお、運用いただくサーバーにてSSLv2を用いた暗号化通信が行われていた場合に問題となる脆弱性のため、SSLv2による暗号化通信を行わない対策を推奨いたします。詳細な対策についてはJVNVU#90617353 SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃)の「対策方法」の項をご参照ください。 - 「cybozu.com」各サービス、「サイボウズLive」、「cybozu.net」、「リモートサービス」、「コラボレックス」、「ネット連携サービス」
各サーバーともSSLv2による暗号化通信を行っておりませんので、本脆弱性の影響を受けません。
■ 本件に関するお問い合わせ
本件についてご不明な点がございましたら、下記までお問い合わせください。
サイボウズ インフォメーションセンター:contactus@cybozu.co.jp