このページの本文へ移動

[重要]OpenSSL 'Heartbleed' 脆弱性問題の影響について (お知らせ)

04版 2014年7月
富士通株式会社

お客様各位
平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。

OpenSSL Project が提供する OpenSSLにリモートからメモリ情報を参照可能な脆弱性 (CVE-2014-0160)の存在が報告されております。
この脆弱性の影響を受けるPRIMERGY関連製品の版数と対応について、お知らせいたします。

1. 概要

OpenSSL の脆弱性に関する注意喚起が、JPCERTより公開されております。

OpenSSL Project が提供する OpenSSL の Heartbeat 拡張には情報漏えいの脆弱性があります。
結果として、悪意を持った第三者が、細工したパケットを送付することでシステムのメモリ内に存在する情報を閲覧し、秘密鍵などの重要な情報を取得する可能性があります。
以下の版数のOpenSSLが、本脆弱性の影響を受けます。

  • OpenSSL 1.0.1 から 1.0.1f
  • OpenSSL 1.0.2-beta から 1.0.2-beta1

2. 影響を受ける可能性のあるPRIMERGY対象製品

脆弱性が存在する版数のOpenSSLが組み込まれているPRIMERGY対象製品

  • ServerView RAID Manager v5.5.2 からv5.5.12 、v5.6.4 、v5.7.3 からv5.7.10
  • 上記ServerView RAID Managerを組み込んだ製品
    • FUJITSU Integrated System Cloud Ready Blocks
    • FUJITSU Integrated System HA Database Ready
  • ServerView Storage Manager v5.0.0.4からv5.0.0.7のLinux版

    Windows版は影響を受けません。
    Linux版において、CLIコマンドによる操作を行う場合で、且つ"-https"パラメータを使用する場合に影響を受ける可能性があります。ServerView Operations Managerにプラグインして使用する場合や、CLIコマンドに上記パラメータを使用しない場合には影響を受けません。

3. お願いとお知らせ

3.1 対策版の提供時期

本脆弱性の影響を受ける対象製品において、以下のとおり対策版を公開しておりますので適用をお願いします。

ServerView RAID Manager

対策版のServerView RAID ManagerをサポートOS別に3種類公開しております。

対策版ServerView RAID ManagerのサポートOS別対応版数一覧
対策版数 公開時期 サポートOS
V5.8.5 4月24日済 RHEL 5.8, 5.9, 5.10, 6.3, 6.4, 6.5
Windows Server 2003 R2, 2008, 2008 R2, 2012, 2012 R2
VMware ESXi 4.1 U2/U3, 5.0 U1/U2/U3, 5.1 GA/U1/U2, 5.5 GA
Oracle Linux 6 U3/U4/U5
Oracle VM Server 3.1.1, 3.2.x
V5.7.11 5月16日済 ESX4
V5.6.7 7月3日済 RHEL 4.6, 4.7, 4.8, 4.9,
RHEL5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 5.7,
RHEL6.0, 6.1, 6.2
VMware ESX 3.0.3, 3.0.3 U1, 3.5 U5
VMware ESXi 4.1 U1/U2/U3
VMware ESXi 5.1 GA/U1/U2/U3, 5.5 GA
Citrix XenServer 5.6
everRun 2G/MX/MX 6.1
V5.4.8 本脆弱性の影響を受けません

FUJITSU Server PRIMERGYダウンロードから対策版を入手ください。

ServerView Storage Manager (Linux版)

対策版ServerView Storage Manager (Linux版)のサポートOS別対応版数一覧
対策版数 公開時期 サポートOS
V5.0.0.9 5月16日済 RHEL 5.4, 5.5, 5.6, 5.7, 5.8, 5.9, 5.10
RHEL 6, 6.1, 6.2, 6.3, 6.4, 6.5

FUJITSU Server PRIMERGYダウンロードから対策版を入手ください。

3.2 対策版を適用されるまでの回避方法

リモート監視を行わない場合、以下の回避方法で脆弱性を回避することが可能です。

[ 回避方法 : リモート監視を行わない場合 ]
ServerView RAID Manager が使用するポート3173をブロックすることで、外部からの脆弱性を突いた攻撃を未然に防ぐ事ができます。
この場合、サーバ本体のブラウザからのみServerView RAID Managerを利用することが出来ます。
また、ServerView RAID Manager の設定ファイルamDPatch.iniにあります特定パラメータ、LocalConnections = 0 ; From which servers are connections allowed to our portを"1"に変更して、ServerView RAID Managerのサービスを再起動することで外部からアクセスが出来なくなるため、同様の効果が得られます。
どちらの方法でも、サーバ本体のブラウザから以下のアドレスへ接続する必要があります。
   https://127.0.0.1:3173/ または https://localhost:3173/

注 リモート監視を行う場合、インストール済みの対象製品をアンインストール後、対策版を再インストールしてください。

下記製品については対策版が提供されるまでの間は、SeverView RAID Managerの [回避方法:リモート監視を行わない場合]を実施願います。
対策版の情報に関しては、各製品のホームページをご確認ください。

各OS製品に関しては、各OS製品のSupport Desk或いは、各OS製品のベンダーにお問合せ願います。

4. 関連情報

PRIMERGY関連製品以外の当社製品に対する情報は、下記をご確認ください。

FUJITSU Server PRIMERGYに関する資料請求・お見積もり・ご相談

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)