- Terrapin Attack について (CVE-2023-48795) による影響と対策を教えてください。
- WebDrive では、この攻撃の影響を受けるアルゴリズムをサポートしているため、運用状況によっては影響を受けます。
攻撃を回避するためには、サーバー側で対象のアルゴリズムを無効化してください。
Apache Log4j の脆弱性 (CVE-2021-44228) による影響
WebDrive NextGen は Apache Log4j の脆弱性 (CVE-2021-44228) による影響を受けません。
また、WebDrive NextGen では Apache および Java を使用していないため、アプリケーションがこれらの脆弱性の影響を受けることもありません。
Apache Log4j も使用していません。
- 最新バージョン/ビルドをご利用いただくことが、最善のセキュリティ対策です。
- WebDrive NextGen の最新バージョンは、ダウンロードページでご確認いただけます。
Unicode の脆弱性 (CVE-2021-3711、CVE-2021-3712) について
WebDrive NextGen のアプリケーションは、Unicode におけるコードインジェクションの脆弱性 (CVE-2021-3711、CVE-2021-3712) に関する影響を受けません。
Open SSH の使用と脆弱性について
WebDrive NextGen では、Open SSH クライアントを使用していません。
SFTP (SSH) の暗号化/復号処理には、別の API を使用しています。
そのため、WebDrive NextGen は Open SSH クライアントの脆弱性について、直接的な影響を受けません。
- WebDrive 以外で作成したホストキーが、脆弱性の影響を受ける可能性はあります。
- ホストキーのフォーマットには Open SSH 形式を使用できます。
WebDrive NextGen では、PPK 形式と Open SSH 形式の 2つフォーマットに対応しています。 - SSH シェルログインには対応していません。SFTP でのログインとなります。
- セキュリティ対策の一環として、使用 API は公開いたしません。
Apache Tomcat の脆弱性による影響について
WebDrive NextGen では Apache Tomcat を利用していません。
そのため、WebDrive NextGen には、Apache Tomcat に存在するサービス運用妨害 (DoS) の脆弱性 (CVE-2021-41079) による影響はありません。
なお、旧バージョンとなる WebDrive 2019 でも、Apache Tomcat を利用していません。
脆弱性 CVE-2021-3711、CVE-2021-3712 について
WebDrive NextGen は OpenSSL を使用していないため、OpenSSL の脆弱性(CVE-2021-3711、CVE-2021-3712)による直接的な影響はありません。
ただし、接続先 (ホスト側) が OpenSSL を使用している場合、ご利用のクライアント端末自体が脆弱性による影響を受ける可能性があります。
WebDrive NextGen の安全性について
WebDrive NextGen では、安全性を重視したセキュリティ対策として、新たに以下の内容を導入しました。
脆弱性 CVE-2020-0601 による影響について
Windows CryptoAPI のなりすましの脆弱性「CVE-2020-0601」について、WebDrive への直接的な影響はございません。
ただし、OSレベルでのセキュリティリスクとなりますため、Windows OS を最新の状態に更新いただくことを、強く推奨いたします。
本件に限らず、セキュリティリスクへの対策として、OS およびソフトウェアは、常に最新の状態に更新いただくことを推奨いたします。
TLSの脆弱性について
暗号化プロトコル TLS 1.0/1.1 の脆弱性に伴い、サーバー側で TLS 1.2 未満を無効にする対応が進んでおります。
上記のようなサーバーへの接続時に、WebDrive で SSL および TLS1.0/1.1 が有効となっている場合、不正アクセスと判断されてブロック対象となる可能性がございます。
本ページでは、WebDrive 2019 で TLS 1.0/1.1 を無効化する方法をご案内します。
WebDrive NextGen の設定手順は、SSL/TLS について をご参照ください。