[重要]OpenSSL 'Heartbleed' 脆弱性問題の影響について (お知らせ)
お客様各位
平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。
OpenSSL Project が提供する OpenSSLにリモートからメモリ情報を参照可能な脆弱性 (CVE-2014-0160)の存在が報告されております。
この脆弱性の影響を受けるPRIMERGY関連製品の版数と対応について、お知らせいたします。
1. 概要
OpenSSL の脆弱性に関する注意喚起が、JPCERTより公開されております。
OpenSSL Project が提供する OpenSSL の Heartbeat 拡張には情報漏えいの脆弱性があります。
結果として、悪意を持った第三者が、細工したパケットを送付することでシステムのメモリ内に存在する情報を閲覧し、秘密鍵などの重要な情報を取得する可能性があります。
以下の版数のOpenSSLが、本脆弱性の影響を受けます。
- OpenSSL 1.0.1 から 1.0.1f
- OpenSSL 1.0.2-beta から 1.0.2-beta1
2. 影響を受ける可能性のあるPRIMERGY対象製品
脆弱性が存在する版数のOpenSSLが組み込まれているPRIMERGY対象製品
3. お願いとお知らせ
3.1 対策版の提供時期
本脆弱性の影響を受ける対象製品において、以下のとおり対策版を公開しておりますので適用をお願いします。
ServerView RAID Manager
対策版のServerView RAID ManagerをサポートOS別に3種類公開しております。
対策版ServerView RAID ManagerのサポートOS別対応版数一覧
対策版数 |
公開時期 |
サポートOS |
V5.8.5 |
4月24日済 |
RHEL 5.8, 5.9, 5.10, 6.3, 6.4, 6.5
Windows Server 2003 R2, 2008, 2008 R2, 2012, 2012 R2
VMware ESXi 4.1 U2/U3, 5.0 U1/U2/U3, 5.1 GA/U1/U2, 5.5 GA
Oracle Linux 6 U3/U4/U5
Oracle VM Server 3.1.1, 3.2.x |
V5.7.11 |
5月16日済 |
ESX4 |
V5.6.7 |
7月3日済 |
RHEL 4.6, 4.7, 4.8, 4.9,
RHEL5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 5.7,
RHEL6.0, 6.1, 6.2
VMware ESX 3.0.3, 3.0.3 U1, 3.5 U5
VMware ESXi 4.1 U1/U2/U3
VMware ESXi 5.1 GA/U1/U2/U3, 5.5 GA
Citrix XenServer 5.6
everRun 2G/MX/MX 6.1
|
V5.4.8 |
済 |
本脆弱性の影響を受けません |
FUJITSU Server PRIMERGYダウンロードから対策版を入手ください。
ServerView Storage Manager (Linux版)
対策版ServerView Storage Manager (Linux版)のサポートOS別対応版数一覧
対策版数 |
公開時期 |
サポートOS |
V5.0.0.9 |
5月16日済 |
RHEL 5.4, 5.5, 5.6, 5.7, 5.8, 5.9, 5.10 RHEL 6, 6.1, 6.2, 6.3, 6.4, 6.5 |
FUJITSU Server PRIMERGYダウンロードから対策版を入手ください。
3.2 対策版を適用されるまでの回避方法
リモート監視を行わない場合、以下の回避方法で脆弱性を回避することが可能です。
[ 回避方法 : リモート監視を行わない場合 ]
ServerView RAID Manager が使用するポート3173をブロックすることで、外部からの脆弱性を突いた攻撃を未然に防ぐ事ができます。
この場合、サーバ本体のブラウザからのみServerView RAID Managerを利用することが出来ます。
また、ServerView RAID Manager の設定ファイルamDPatch.iniにあります特定パラメータ、LocalConnections = 0 ; From which servers are connections allowed to our portを"1"に変更して、ServerView RAID Managerのサービスを再起動することで外部からアクセスが出来なくなるため、同様の効果が得られます。
どちらの方法でも、サーバ本体のブラウザから以下のアドレスへ接続する必要があります。
https://127.0.0.1:3173/ または https://localhost:3173/
リモート監視を行う場合、インストール済みの対象製品をアンインストール後、対策版を再インストールしてください。
下記製品については対策版が提供されるまでの間は、SeverView RAID Managerの [回避方法:リモート監視を行わない場合]を実施願います。
対策版の情報に関しては、各製品のホームページをご確認ください。
各OS製品に関しては、各OS製品のSupport Desk或いは、各OS製品のベンダーにお問合せ願います。
4. 関連情報
PRIMERGY関連製品以外の当社製品に対する情報は、下記をご確認ください。
- 脆弱性情報 2014年
TA14-098A OpenSSL 'Heartbleed' vulnerability (CVE-2014-0160)
FUJITSU Server PRIMERGYに関する資料請求・お見積もり・ご相談
当社はセキュリティ保護の観点からSSL技術を使用しております。
受付時間 9時~12時および13時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)