このページの本文へ移動

[重要]OpenSSLにおけるChangeCipherSpecメッセージ処理の脆弱性問題の影響について (お知らせ)

01版 2014年7月
富士通株式会社

お客様各位
平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。

OpenSSL Project が提供する OpenSSLに初期SSL/TLSハンドシェイクにおけるChangeCipherSpecメッセージ処理の脆弱性 (CVE-2014-0224)の存在が報告されております。
この脆弱性の影響を受けるPRIMERGY関連製品の版数と対応について、お知らせいたします。

1. 概要

OpenSSL における Change Cipher Spec メッセージの処理に脆弱性が、JVNより公開されております。

OpenSSL Project が提供する OpenSSL には、初期SSL/TLSハンドシェイクにおける Change Cipher Spec メッセージ処理に脆弱性があります。
結果として、サーバとクライアント間のSSL/TLS通信が、中間攻撃者(man-in-the-middle attack)によって解読されたり、改ざんされたりする可能性があります。

サーバ側およびクライアント側で使用している OpenSSL のバージョンが以下の版数の組み合わせの場合、本脆弱性の影響を受けます。

サーバ側:
OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g および それ以前

クライアント側:
OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g および それ以前
OpenSSL 1.0.0 系列のうち OpenSSL 1.0.0l および それ以前
OpenSSL 0.9.8 系列のうち OpenSSL 0.9.8y および それ以前

2. 影響を受ける可能性のあるPRIMERGY対象製品

2.1 脆弱性が存在する版数のOpenSSLが組み込まれているPRIMERGY対象製品

  • ServerView Operations Manager V6.30 および それ以前
  • ServerView Agents V6.30 および それ以前
  • ServerView RAID Manager v5.8.5 および それ以前
  • ServerView Storage Manager V5.0.0.9 および それ以前
  • ServerView Deployment Manager V6.40 および それ以前
  • 上記ServerView 製品を組み込んだ製品
    • FUJITSU Integrated System Cloud Ready Blocks
    • FUJITSU Integrated System HA Database Ready

2.2 脆弱性の影響

本脆弱性はサーバ側、クライアント側のそれぞれで脆弱性に該当する版数のOpenSSLを使用しており、そのサーバ側とクライアント側と組み合わせて使用した場合のみ影響を受けます。
対象となる製品がサーバ側になるのか、クライアント側になるのかによって脆弱性に該当する版数が異なります。
サーバ側、クライアント側どちらか一方でも、脆弱性の条件に該当しない場合は、本脆弱性の影響を受けません。

本脆弱性に該当する可能性がある機能、操作は以下の通りです。
下記以外の機能、操作については、本脆弱性の影響は受けません。

脆弱性に該当する可能性のある組み合わせ、操作

該当製品がサーバ側となる場合
製品名 機能、操作 クライアント側機能、製品
ServerView Operations Manager for Linux ServerView Operations Manager のディレクトリサービスを外部のアプリケーションが使用する ディレクトリサービスを使用するアプリケーション
ServerView Operations Manager のデータベースにリモートでアクセスする ServerView Deployment Manager
該当製品がクライアント側となる場合
製品名 機能、操作 サーバ側機能、製品
ServerView Operations Manager アップデート管理機能で、リポジトリサーバをユーザー自身が構築を行いリポジトリデータの参照先として設定している 注釈1 リポジトリサーバ
VMware ESXi サーバを監視している VMware ESXi
ServerView Agents System Monitor のアップデート管理機能で、リポジトリサーバをユーザー自身が構築を行いリポジトリデータの参照先として設定している 注釈1 リポジトリサーバ
ServerView RAID Manager ユーザー認証にServerView Operations Manager for Linuxのディレクトリサービスを使用している ServerView Operations Manager for Linux
VMware ESXi サーバを監視している VMware ESXi
ServerView Storage Manager CLIコマンドを"-https" オプション付きで実行している ETERNUS
ServerView Deployment Manager ServerView Operations Manager for Linuxのデータベースにリモートでアクセスを行う ServerView Operations Manager for Linux

注釈1:当社が提供しているリポジトリサーバをリポジトリデータの参照先としている場合は、本脆弱性の影響は受けません。

3. お願いとお知らせ

3.1 脆弱性の回避方法

以下の回避方法で脆弱性を回避することが可能です。

[ ServerView Operations Manager 回避方法 ]
Linux版をご使用の場合は、OSのOpenSSLを使用しているためOSの脆弱性対応を行ってください。
Windows版 をご使用の場合、 脆弱性が修正されたServerView Operations Manager for Windowsを使用するか、サーバ側となるシステムの脆弱性対応を行ってください。
もしくは、該当する機能を使用しないでください。

[ ServerView Agents 回避方法 ]
Linux 版をご使用の場合は、OSのOpenSSLを使用しているためOSの脆弱性対応を行ってください。
Windows 版 をご使用の場合、脆弱性が修正されたServerView Agents for Windowsを使用するか、サーバ側となるシステムの脆弱性対応を行ってください。
もしくは、該当する機能を使用しないでください。

[ ServerView RAID 回避方法 ]
脆弱性が修正されたServerView RAID Managerを使用するか、サーバ側となるシステムの脆弱性対応を行ってください。
もしくは、該当する機能を使用しないでください。
上記対策が取れない場合、ServerView RAID Manager が使用するポート3173をブロックすることで、外部からの脆弱性を突いた攻撃を未然に防ぐ事ができます。
この場合、サーバ本体のブラウザからのみServerView RAID Managerを利用することが出来ます。 また、ServerView RAID Manager の設定ファイルamDPatch.iniにあります特定パラメータ、LocalConnections = 0 ; From which servers are connections allowed to our portを"1"に変更して、ServerView RAID Managerのサービスを再起動することで外部からアクセスが出来なくなるため、同様の効果が得られます。
どちらの方法でも、サーバ本体のブラウザから以下のアドレスへ接続する必要があります。
    https://127.0.0.1:3173/ または https://localhost:3173/

[ ServerView Storage Manager 回避方法 ]
脆弱性が修正されたServerView Storage Managerを使用するか、CLIコマンドによる操作を行う場合で、"-https"パラメータを使用しないでください。
もしくは、サーバ側となるシステムの脆弱性対応を行ってください。

[ ServerView Deployment Manager 回避方法 ]
アクセスを行うServerView Operations Manager で脆弱性対応を行ってください。

下記製品については対策版が提供されるまでの間は、上記各製品の[回避方法]を実施願います。
対策版の情報に関しては、各製品のホームページにて公開予定です。

各OS製品に関しては、各OS製品のSupport Desk或いは、各OS製品のベンダーにお問合せ願います。

3.2 対策版の提供時期

本脆弱性の影響を受ける対象製品は、対策版を順次公開してまいりますので適用をお願いします。

対策版ServerView RAID Manager公開状況
対策版数 公開時期 サポートOS
V5.8.8 6月20日済 RHEL 5.8, 5.9, 5.10, 6.3, 6.4, 6.5
Windows Server 2003 R2, 2008, 2008 R2, 2012, 2012 R2
Oracle Linux 6 U3/U4/U5
Oracle VM Server 3.1.1, 3.2.x
Citrix XenServer 6.0, 6.0.2, 6.1, 6.2
対策版 ServerView Operations Manager for Windows公開状況
対策版数 公開時期 サポートOS
V6.31.03 2014年8月初
公開予定
Windows Server 2008, 2008 R2, 2012, 2012 R2
対策版 ServerView Agents for Windows 公開状況
対策版数 公開時期 サポートOS
V6.31.03 2014年8月初
公開予定
Windows Server 2008, 2008 R2, 2012, 2012 R2
対策版ServerView Storage Manager 公開状況
対策版数 公開時期 サポートOS
V5.0.1.0 2014年8月
公開予定
確認中

FUJITSU Server PRIMERGYダウンロードから対策版を入手ください。

4. 関連情報

PRIMERGY関連製品以外の当社製品に対する情報は、下記をご確認ください。

FUJITSU Server PRIMERGYに関する資料請求・お見積もり・ご相談

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)