2014/11/18現在での、DOUPA!セキュリティ対応情報を下記にご報告いたします。
■Heartbleed(CVE-2014-0160)
| 脆弱性発表日 | 2014/04/07 |
|---|---|
| 脆弱性内容 | SSLでサーバー送信した情報は暗号化されます。この情報は、サーバーの秘密鍵という鍵のみで復号化することが可能ですが、メモリ上のデータが破棄されずサーバー外部に流出してしまう場合があります。この場合、第三者でも容易に通信内容を読み取られる恐れが発生します。 |
| 対応方法 | 脆弱性に該当するバージョンのOpenSSLを使用していなかったため、対応は行わずに済みました。 |
■CCS Injection(CVE-2014-0224)
| 脆弱性発表日 | 2014/06/05 |
|---|---|
| 脆弱性内容 | Heartbleedで対象外だったOpenSSLのバージョンでもさらに同様の脆弱性が発見されました。 |
| 対応方法 | 2014/06/10 脆弱性に該当するOpenSSLを修正対応された最新のバージョンへアップデートしました。さらに、暗号化通信鍵を盗みとられている可能性がありましたので、使用していたサーバー証明書の再発行を行いました。 |
■bash の脆弱性 (CVE-2014-6271)
| 脆弱性発表日 | 2014/09/25 |
|---|---|
| 脆弱性内容 | bashに任意のOSコマンドを実行されると、サーバーに格納されている情報が引き出される不具合が発見されました。 |
| 対応方法 | 2014/10/07 脆弱性に該当するbashを修正対応された最新のバージョンへアップデートしました。 |
■POODLE(CVE-2014-3566)
| 脆弱性発表日 | 2014/10/14 |
|---|---|
| 脆弱性内容 | SSLの暗号化方式のSSLv3に暗号化通信の内容を盗み見られてしまう脆弱性が発見されました。 |
| 対応方法 | 2014/10/17 暗号化通信を行っているAWS側のロードバランサーにSSLv3方式の暗号化を使用しないよう修正しました。 |
■MySQLに関する脆弱性(CVE-2014-6507 等)
| 脆弱性発表日 | 2014/10/30 |
|---|---|
| 脆弱性内容 | Oracle MySQL の MySQL Server には、SERVER:DMLに関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。 |
| 対応方法 | 2014/11/03 MySQLのバージョンを修正対応された最新バージョンへアップデートしました。 |
今後もDOUPA!は、お客様からお預かりしている情報資源および当社の情報資源を、不正アクセス・漏えい・破壊・紛失等から守るために、セキュリティ対策の実施状況を定期的にチェックし、継続的な維持・改善に努めます。
引き続き、ご愛顧の程よろしくお願いいたします。
■DOUPA!について
DOUPA!は専門知識がなくてもすぐ簡単に動画共有サイトの運営を始められる動画ポータルサイト作成プラットフォームです。DOUPA!にアップロードした動画はPC、タブレット、スマートフォンで場所を問わず視聴することができます。自社開発システムのためお客様のカスタマイズのご要望にも柔軟に対応することができ、高い評価を頂いております。
DOUPA!へのお問い合わせは下記よりお気軽に。
https://doupa.jp/contact_us/
お電話でのお問い合わせ
ウェブからのお問い合わせ
