Adobe、OpenSSLの脆弱性対応について説明

脆弱性のあるバージョンのOpenSSLを使っていたことが判明したインターネット対応の全サービスについては、影響を緩和する措置を講じたと説明している。

[鈴木聖子，ITmedia]

　米Adobe Systemsは4月17日、OpenSSLに発覚した「Heartbleed」と呼ばれる重大な脆弱性に関連して、同社製品やサービスへの影響と対応状況を明らかにした。

　それによると、同社はまずCreative Cloudと関連サービス（BehanceやDigital Publishing Suiteなど）、Marketing Cloudと関連サービス（Analytics、Analytics Premium、Experience Managerなど）、およびEchoSign、Acrobat.com、Adobe.comなどのサービスについて影響を調べた。

　その上で、脆弱性のあるバージョンのOpenSSLを使っていたことが判明したインターネット対応の全サービスについて、影響を緩和する措置を講じたと説明している。

　一方、インターネットに接続するサーバについては引き続き調査を行っており、Heartbleed関連の問題が残っていれば発見して修正する意向。

　また、Experience ManagerやExperience Manager On-Demandなどの製品やサービスについては、OpenSSLはバンドルしていないものの、顧客がオンプレミスやサードパーティーのWebサーバと組み合わせて導入することも多いと指摘。こうした顧客は自社の導入形態や設定に関してHeartbleedの脆弱性が存在しないかどうかを調べ、必要があれば適切な対策を講じるよう促している。なお、ColdFusionはHeartbleedの脆弱性の影響を受けないバージョンのOpenSSLを使っているという。

　パスワードについては、現時点でAdobe側でリセットの措置は予定していないとした。ただ、パスワードは定期的に変更するに越したことはないと述べ、特に他のWebサイトと同じIDやパスワードを使い回している場合は、パスワードを変更することを強く推奨している。