- 製品ラインアップ
- マルチノードサーバ
- ラックサーバ
- タワーサーバ
- オプション・周辺機器
- システム構成図(価格表)
- カタログ
- 導入事例
- ソリューション
- OS・ソフトウェア
- サーバ運用管理
- 技術情報
- PRIMERGY サポート
- PRIMERGY サービス
- ダウンロード
- マニュアル
- 今までに発表した製品
- PRIMERGY お問い合わせ
- ホーム >
- 製品 >
- コンピュータプラットフォーム >
- サーバ >
- PRIMERGY >
[重要]OpenSSLにおけるChangeCipherSpecメッセージ処理の脆弱性問題の影響について (お知らせ)
01版 2014年7月
富士通株式会社
お客様各位
平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。
OpenSSL Project が提供する OpenSSLに初期SSL/TLSハンドシェイクにおけるChangeCipherSpecメッセージ処理の脆弱性 (CVE-2014-0224)の存在が報告されております。
この脆弱性の影響を受けるPRIMERGY関連製品の版数と対応について、お知らせいたします。
1. 概要
OpenSSL における Change Cipher Spec メッセージの処理に脆弱性が、JVNより公開されております。
OpenSSL Project が提供する OpenSSL には、初期SSL/TLSハンドシェイクにおける Change Cipher Spec メッセージ処理に脆弱性があります。
結果として、サーバとクライアント間のSSL/TLS通信が、中間攻撃者(man-in-the-middle attack)によって解読されたり、改ざんされたりする可能性があります。
サーバ側およびクライアント側で使用している OpenSSL のバージョンが以下の版数の組み合わせの場合、本脆弱性の影響を受けます。
サーバ側:
OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g および それ以前
クライアント側:
OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g および それ以前
OpenSSL 1.0.0 系列のうち OpenSSL 1.0.0l および それ以前
OpenSSL 0.9.8 系列のうち OpenSSL 0.9.8y および それ以前
2. 影響を受ける可能性のあるPRIMERGY対象製品
2.1 脆弱性が存在する版数のOpenSSLが組み込まれているPRIMERGY対象製品
- ServerView Operations Manager V6.30 および それ以前
- ServerView Agents V6.30 および それ以前
- ServerView RAID Manager v5.8.5 および それ以前
- ServerView Storage Manager V5.0.0.9 および それ以前
- ServerView Deployment Manager V6.40 および それ以前
- 上記ServerView 製品を組み込んだ製品
- FUJITSU Integrated System Cloud Ready Blocks
- FUJITSU Integrated System HA Database Ready
2.2 脆弱性の影響
本脆弱性はサーバ側、クライアント側のそれぞれで脆弱性に該当する版数のOpenSSLを使用しており、そのサーバ側とクライアント側と組み合わせて使用した場合のみ影響を受けます。
対象となる製品がサーバ側になるのか、クライアント側になるのかによって脆弱性に該当する版数が異なります。
サーバ側、クライアント側どちらか一方でも、脆弱性の条件に該当しない場合は、本脆弱性の影響を受けません。
本脆弱性に該当する可能性がある機能、操作は以下の通りです。
下記以外の機能、操作については、本脆弱性の影響は受けません。
脆弱性に該当する可能性のある組み合わせ、操作
| 製品名 | 機能、操作 | クライアント側機能、製品 |
|---|---|---|
| ServerView Operations Manager for Linux | ServerView Operations Manager のディレクトリサービスを外部のアプリケーションが使用する | ディレクトリサービスを使用するアプリケーション |
| ServerView Operations Manager のデータベースにリモートでアクセスする | ServerView Deployment Manager |
| 製品名 | 機能、操作 | サーバ側機能、製品 |
|---|---|---|
| ServerView Operations Manager | アップデート管理機能で、リポジトリサーバをユーザー自身が構築を行いリポジトリデータの参照先として設定している  |
リポジトリサーバ |
| VMware ESXi サーバを監視している | VMware ESXi | |
| ServerView Agents | System Monitor のアップデート管理機能で、リポジトリサーバをユーザー自身が構築を行いリポジトリデータの参照先として設定している |
リポジトリサーバ |
| ServerView RAID Manager | ユーザー認証にServerView Operations Manager for Linuxのディレクトリサービスを使用している | ServerView Operations Manager for Linux |
| VMware ESXi サーバを監視している | VMware ESXi | |
| ServerView Storage Manager | CLIコマンドを"-https" オプション付きで実行している | ETERNUS |
| ServerView Deployment Manager | ServerView Operations Manager for Linuxのデータベースにリモートでアクセスを行う | ServerView Operations Manager for Linux |
:当社が提供しているリポジトリサーバをリポジトリデータの参照先としている場合は、本脆弱性の影響は受けません。
3. お願いとお知らせ
3.1 脆弱性の回避方法
以下の回避方法で脆弱性を回避することが可能です。
[ ServerView Operations Manager 回避方法 ]
Linux版をご使用の場合は、OSのOpenSSLを使用しているためOSの脆弱性対応を行ってください。
Windows版 をご使用の場合、 脆弱性が修正されたServerView Operations Manager for Windowsを使用するか、サーバ側となるシステムの脆弱性対応を行ってください。
もしくは、該当する機能を使用しないでください。
[ ServerView Agents 回避方法 ]
Linux 版をご使用の場合は、OSのOpenSSLを使用しているためOSの脆弱性対応を行ってください。
Windows 版 をご使用の場合、脆弱性が修正されたServerView Agents for Windowsを使用するか、サーバ側となるシステムの脆弱性対応を行ってください。
もしくは、該当する機能を使用しないでください。
[ ServerView RAID 回避方法 ]
脆弱性が修正されたServerView RAID Managerを使用するか、サーバ側となるシステムの脆弱性対応を行ってください。
もしくは、該当する機能を使用しないでください。
上記対策が取れない場合、ServerView RAID Manager が使用するポート3173をブロックすることで、外部からの脆弱性を突いた攻撃を未然に防ぐ事ができます。
この場合、サーバ本体のブラウザからのみServerView RAID Managerを利用することが出来ます。
また、ServerView RAID Manager の設定ファイルamDPatch.iniにあります特定パラメータ、LocalConnections = 0 ; From which servers are connections allowed to our portを"1"に変更して、ServerView RAID Managerのサービスを再起動することで外部からアクセスが出来なくなるため、同様の効果が得られます。
どちらの方法でも、サーバ本体のブラウザから以下のアドレスへ接続する必要があります。
https://127.0.0.1:3173/ または https://localhost:3173/
[ ServerView Storage Manager 回避方法 ]
脆弱性が修正されたServerView Storage Managerを使用するか、CLIコマンドによる操作を行う場合で、"-https"パラメータを使用しないでください。
もしくは、サーバ側となるシステムの脆弱性対応を行ってください。
[ ServerView Deployment Manager 回避方法 ]
アクセスを行うServerView Operations Manager で脆弱性対応を行ってください。
下記製品については対策版が提供されるまでの間は、上記各製品の[回避方法]を実施願います。
対策版の情報に関しては、各製品のホームページにて公開予定です。
各OS製品に関しては、各OS製品のSupport Desk或いは、各OS製品のベンダーにお問合せ願います。
3.2 対策版の提供時期
本脆弱性の影響を受ける対象製品は、対策版を順次公開してまいりますので適用をお願いします。
| 対策版数 | 公開時期 | サポートOS |
|---|---|---|
| V5.8.8 | 6月20日済 | RHEL 5.8, 5.9, 5.10, 6.3, 6.4, 6.5 Windows Server 2003 R2, 2008, 2008 R2, 2012, 2012 R2 Oracle Linux 6 U3/U4/U5 Oracle VM Server 3.1.1, 3.2.x Citrix XenServer 6.0, 6.0.2, 6.1, 6.2 |
| 対策版数 | 公開時期 | サポートOS |
|---|---|---|
| V6.31.03 | 2014年8月初 公開予定 |
Windows Server 2008, 2008 R2, 2012, 2012 R2 |
| 対策版数 | 公開時期 | サポートOS |
|---|---|---|
| V6.31.03 | 2014年8月初 公開予定 |
Windows Server 2008, 2008 R2, 2012, 2012 R2 |
| 対策版数 | 公開時期 | サポートOS |
|---|---|---|
| V5.0.1.0 | 2014年8月 公開予定 |
確認中 |
FUJITSU Server PRIMERGYダウンロードから対策版を入手ください。
4. 関連情報
PRIMERGY関連製品以外の当社製品に対する情報は、下記をご確認ください。
- 脆弱性情報 2014年
JVN#61247051 OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
PRIMERGYに関する資料請求・お見積もり・ご相談
当社はセキュリティ保護の観点からSSL技術を使用しております。
受付時間 9時~12時および13時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)
