PuTTY の脆弱性 (CVE-2024-31497) による影響

PuTTY に ECDSA 秘密鍵の脆弱性 (CVE-2024-31497) が発見されましたが、WebDrive に関係ありますか?
WebDrive で作成した秘密鍵 (ホストキー) をご利用であれば影響はありません。
修正前の PuTTY を含むソフトウェアで作成した秘密鍵をご利用の場合は、キーペア (秘密鍵と公開鍵) の速やかな交換を推奨いたします。

秘密鍵と公開鍵を交換するまでの流れを以下にご案内します。

“PuTTY の脆弱性 (CVE-2024-31497) による影響” の続きを読む

Terrapin Attack (CVE-2023-48795) への対策

Terrapin Attack について (CVE-2023-48795) による影響と対策を教えてください。
WebDrive では、この攻撃の影響を受けるアルゴリズムをサポートしているため、運用状況によっては影響を受けます。
攻撃を回避するためには、サーバー側で対象のアルゴリズムを無効化してください。

“Terrapin Attack (CVE-2023-48795) への対策” の続きを読む

Apache Log4j の脆弱性 (CVE-2021-44228) による影響

WebDrive NextGen は Apache Log4j の脆弱性 (CVE-2021-44228) による影響を受けません。

また、WebDrive NextGen では Apache および Java を使用していないため、アプリケーションがこれらの脆弱性の影響を受けることもありません。

Apache Log4j も使用していません。

  • 最新バージョン/ビルドをご利用いただくことが、最善のセキュリティ対策です。
  • WebDrive NextGen の最新バージョンは、ダウンロードページでご確認いただけます。

Open SSH の使用と脆弱性について

WebDrive NextGen では、Open SSH クライアントを使用していません。

SFTP (SSH) の暗号化/復号処理には、別の API を使用しています。
そのため、WebDrive NextGen は Open SSH クライアントの脆弱性について、直接的な影響を受けません。

  • WebDrive 以外で作成したホストキーが、脆弱性の影響を受ける可能性はあります。
  • ホストキーのフォーマットには Open SSH 形式を使用できます。
    WebDrive NextGen では、PPK 形式と Open SSH 形式の 2つフォーマットに対応しています。
  • SSH シェルログインには対応していません。SFTP でのログインとなります。
  • セキュリティ対策の一環として、使用 API は公開いたしません。

Apache Tomcat の脆弱性による影響について

WebDrive NextGen では Apache Tomcat を利用していません。

そのため、WebDrive NextGen には、Apache Tomcat に存在するサービス運用妨害 (DoS) の脆弱性 (CVE-2021-41079) による影響はありません。

なお、旧バージョンとなる WebDrive 2019 でも、Apache Tomcat を利用していません。

脆弱性 CVE-2021-3711、CVE-2021-3712 について

WebDrive NextGen は OpenSSL を使用していないため、OpenSSL の脆弱性(CVE-2021-3711、CVE-2021-3712)による直接的な影響はありません。

ただし、接続先 (ホスト側) が OpenSSL を使用している場合、ご利用のクライアント端末自体が脆弱性による影響を受ける可能性があります。

“脆弱性 CVE-2021-3711、CVE-2021-3712 について” の続きを読む

脆弱性 CVE-2020-0601 による影響について

脆弱性 CVE-2020-0601 による WebDrive への影響を教えてください。
Windows CryptoAPI のなりすましの脆弱性「CVE-2020-0601」について、WebDrive への直接的な影響はございません。

ただし、OSレベルでのセキュリティリスクとなりますため、Windows OS を最新の状態に更新いただくことを、強く推奨いたします。

本件に限らず、セキュリティリスクへの対策として、OS およびソフトウェアは、常に最新の状態に更新いただくことを推奨いたします。