このページの本文へ移動

PRIMERGY SSLAcceleratorのOpenSSL脆弱性への対応について

[登録日:2004年4月27日]

英NISCC(National Infrastructure Security Co-Ordination Center)(注1)より、2004年3月17日に「OpenSSL(注2) の実装に関する脆弱性」の存在が報告され、弊社製品においても脆弱性の存在が確認されました。
脆弱性内容および対応方法についてご連絡いたします。

(注1)NISCC:National Infrastructure Security Co-Ordination Centerの略称
英国における重要インフラ保護のための機関
(注2)SSL:Secure Sockets layer
トランスポート層でTCP/IP通信のセキュリティを確保するためのプロトコル

脆弱性内容
1) 概要
下記対象製品において、https通信でOpenSSLを利用しており、脆弱性の存在が確認されております。

2) 対象製品
PRIMERGY SSLAccelerator
- PRIMERGY SSLAccelerator 7110
    ファームウェア Version 2.3.4.0300 Build 3までのバージョン
- PRIMERGY SSLAccelerator 7115
    ファームウェア Version 2.3.4.0300 Build 3までのバージョン
- PRIMERGY SSLAccelerator 7117
    ファームウェア Version 2.5.2.0400 Build 1までのバージョン

注)上記バージョンについては、show infoコマンドにて確認可能です。

3) 発生事象/影響
該当製品において、https通信でOpenSSLを利用し、かつ、製品へのアクセスが信頼できるホスト/クライアントやネットワーク管理装置に限定されていない場合に、悪意を持った攻撃者によるDoS(Denial of Services:サービス継続不能)攻撃を受ける可能性があります。
本脆弱性に対する攻撃を受けた場合、該当製品がリブートする可能性があり、また、複数回の攻撃によりサービス停止状態になる可能性があります。

今回報告されたOpenSSLの脆弱性は以下の3点です。
  1. OpenSSL does not properly handle unknown TLS message types
  2. OpenSSL contains null-pointer assignment in do_change_cipher_spec() function
  3. OpenSSL contains a flaw in the code that processes SSL/TLS handshakes when configured to use the Kerberos cipher suites

(1)および(2)については、サービス停止の可能性があります。
(3)については、本製品については影響ありません。

対応方法について
1) 恒久対策
脆弱性対処済みファームウェアをインストールすることにより、恒久的な対策を行うことができます。脆弱性対処済みファームウェアは、下記より入手いただけます。
PRIMERGY SSLAccelerator OpenSSL脆弱性対処ファームウェア
2) お問い合わせ先
お問い合わせ先につきましては、対象製品をご購入頂いた販売会社、弊社担当営業、 または下記へお問い合わせください。

・PRIMERGY SSLAccelerator 7110 / 7115 / 7117についてのお問い合わせ先
プラットフォームソリューションセンター プロダクトマーケティング統括部 PRIMERGY部
電話Tel:(03)6252-2657(直)

参考URL
OpenSSL Security Advisory(OpenSSL Project)
OpenSSL SSL/TLS Handshake Denial of Service Vulnerabilities(デンマークSecunia)
OpenSSLに複数の脆弱性(情報処理推進機構)
OpenSSLの脆弱性について(警察庁)