PRIMERGY SSLAcceleratorのOpenSSL脆弱性への対応について
[登録日:2004年4月27日]
英NISCC(National Infrastructure Security Co-Ordination Center)(注1)より、2004年3月17日に「OpenSSL(注2) の実装に関する脆弱性」の存在が報告され、弊社製品においても脆弱性の存在が確認されました。
脆弱性内容および対応方法についてご連絡いたします。
| (注1) | NISCC: | National Infrastructure Security Co-Ordination Centerの略称 英国における重要インフラ保護のための機関 |
| (注2) | SSL: | Secure Sockets layer トランスポート層でTCP/IP通信のセキュリティを確保するためのプロトコル |
脆弱性内容
- 1) 概要
- 下記対象製品において、https通信でOpenSSLを利用しており、脆弱性の存在が確認されております。
- 2) 対象製品
- PRIMERGY SSLAccelerator
- - PRIMERGY SSLAccelerator 7110
ファームウェア Version 2.3.4.0300 Build 3までのバージョン - - PRIMERGY SSLAccelerator 7115
ファームウェア Version 2.3.4.0300 Build 3までのバージョン - - PRIMERGY SSLAccelerator 7117
ファームウェア Version 2.5.2.0400 Build 1までのバージョン
- 注)上記バージョンについては、show infoコマンドにて確認可能です。
- - PRIMERGY SSLAccelerator 7110
- 3) 発生事象/影響
- 該当製品において、https通信でOpenSSLを利用し、かつ、製品へのアクセスが信頼できるホスト/クライアントやネットワーク管理装置に限定されていない場合に、悪意を持った攻撃者によるDoS(Denial of Services:サービス継続不能)攻撃を受ける可能性があります。
本脆弱性に対する攻撃を受けた場合、該当製品がリブートする可能性があり、また、複数回の攻撃によりサービス停止状態になる可能性があります。
今回報告されたOpenSSLの脆弱性は以下の3点です。
- OpenSSL does not properly handle unknown TLS message types
- OpenSSL contains null-pointer assignment in do_change_cipher_spec() function
- OpenSSL contains a flaw in the code that processes SSL/TLS handshakes when configured to use the Kerberos cipher suites
-
(1)および(2)については、サービス停止の可能性があります。
(3)については、本製品については影響ありません。
- 対応方法について
- 1) 恒久対策
- 脆弱性対処済みファームウェアをインストールすることにより、恒久的な対策を行うことができます。脆弱性対処済みファームウェアは、下記より入手いただけます。
- 2) お問い合わせ先
- お問い合わせ先につきましては、対象製品をご購入頂いた販売会社、弊社担当営業、
または下記へお問い合わせください。
- ・PRIMERGY SSLAccelerator 7110 / 7115 / 7117についてのお問い合わせ先
- プラットフォームソリューションセンター プロダクトマーケティング統括部 PRIMERGY部
Tel:(03)6252-2657(直)
- プラットフォームソリューションセンター プロダクトマーケティング統括部 PRIMERGY部
- 参考URL
- OpenSSL Security Advisory(OpenSSL Project)
- OpenSSL SSL/TLS Handshake Denial of Service Vulnerabilities(デンマークSecunia)
- OpenSSLに複数の脆弱性(情報処理推進機構)
- OpenSSLの脆弱性について(警察庁)