Skip to main content

SERVICE FACTS

SICHERHEITSLÜCKE VON OPENSSL - DIE AUSWIRKUNGEN DES "HEARTBLEED"-BUGS AUF PRIMERGY UND ZUGEHÖRIGE SOFTWARE

PROBLEM / FRAGE

Eine ernsthafte Sicherheitslücke, die als Heartbleed bekannt ist, wurde in dem weit verbreiteten OpenSSL-Verschlüsselungsprotokoll entdeckt, das die SSL- (Secure Socket Layer) und TLS-Verschlüsselung (Transport Layer Security) betrifft.

Viele Anwender machen sich nun Sorgen in Bezug auf Fujitsu Software und Services und möchten wissen, ob Maßnahmen erforderlich sind oder nicht, um wieder eine sichere Kommunikation herzustellen.

Dieses SupportBulletin soll die häufigsten Fragen zu den Auswirkungen des Heartbleed-Bugs für Fujitsu PRIMERGY Software und Services beantworten.

BETROFFENE UND NICHT BETROFFENE PRODUKTE

  • Das folgende Fujitsu PRIMERGY Produkt ist betroffen:
    • ServerView RAID Manager Version 5.5, 5.6 und 5.7
  • Die folgenden Fujitsu PRIMERGY Produkte sind nicht betroffen:
    • Fujitsu betrachtet CVE-2014-0160 nicht als eine Sicherheitslücke für die folgenden ServerView Suite Produkte:
      ServerView Installation Manager
      ServerView Scripting Toolkit (WIN PE und Linux)
      ServerView PXE Mass Update Tools
      ServerView Integration Pack für Altiris
      ServerView Deployment Manager
      ServerView Operations Manager für Windows und Linux
      ServerView Agents und Provider für Windows
      ServerView Agents und Provider für Linux
      ServerView CIM Provider für ESXi
      ServerView PrimeCollect
      ServerView Update Manager Express
      ServerView Storman
      ServerView Online Diagnostics
      ServerView Virtual I/O Manager
      ServerView Integration Packages für Microsoft-System-Center-Produkte
      ServerView Integration Package für HP Operations Manager
      ServerView Integration Package für HP OpenView NNM
      ServerView Plug-in für Nagios
      ServerView Plug-in für VMware VCenter
      ServerView iRMC S1/S2/S3/S4
      ServerView Management Blade (MMB) für BX400, BX600 oder BX900
      AIS Connect
    • Fujitsu betrachtet CVE-2014-0160 nicht als eine Sicherheitslücke für die folgenden Komponenten:
      Baseboard Management Controller (BMC) für CX250 S1/S2
      cBlades für PRIMERGY BladeFrame BF200 / BF400 S2
      PY BX600 Eth Switch 1 Gb 10/6+2 (SB9)
      PY CB Eth Switch/IBP 1 Gb 18/6 (SB6)
      PY CB Eth Switch/IBP 36/8+2 x 10 Gb (SB11)
      PY CB Eth Switch/IBP 1 Gb 36/12 (SB11a)
      PY CB Eth Switch/IBP 10 Gb 18/8 (SBAX2)
      SBAX3/CFX2000
      Brocade FC/VDX
      CB DCB Switch FEX B22F 10 Gb 16/8 (Cisco)
      Mellanox PTM
      Mellanox IB Switch
      Mellanox IB HBA
      Emulex HBA/CNA
      Intel NIC
      Intel IB Switch
      Intel IB HBA

    Hinweis:

    Linux-Betriebssysteme könnten ebenfalls vom Heartbleed-Bug betroffen sein und müssen ggf. aktualisiert werden! Bitte beachten Sie, dass betroffene Versionen eine Anpassung erfordern, wenn ServerView Operations Manager auf diesen Systemen läuft (Näheres finden Sie im nachstehenden Abschnitt Lösung / Übergangslösung)! Eine Liste der betroffenen Versionen finden Sie hier:

LÖSUNG / ÜBERGANGSLÖSUNG

ServerView RAID Manager:

Aktualisierte Versionen von ServerView RAID Manager 5.6, 5.7 und die neue Version 5.8 sind bereits verfügbar. Bitte aktualisieren Sie auf die neuste Version – abhängig von der Hardware bzw. dem Betriebssystem:

**) Bitte verwenden Sie die folgenden Versionen von ServerView RAID Manager für ältere RAID-Controller:

  • - ServerView RAID Manager 5.6.7, der Adaptec HostRAID-, IBM ServeRAID-, LSI SCSI RAID-, Promise RAID-Controller unterstützt
  • ServerView RAID Manager 2.3.18, der Adaptec 2120S, 2200S, 2020ZCR (nicht von der Sicherheitslücke betroffen, keine Aktualisierung erforderlich) unterstützt

Die korrigierten Versionen stehen auf dem Web-Server unter Fujitsu Treiber & DownloadsOpen a new window zum Download zur Verfügung.

Solange die korrigierten Versionen nicht installiert wurden, sollten Sie sicherstellen, dass mit dem Server, auf dem der ServerView RAID Manager läuft, keine Verbindung über das Internet hergestellt werden kann! Die Deinstallation von ServerView RAID Manager birgt das Risiko, den RAID-Status des Servers oder auftretende Probleme nicht überwachen zu können. Daher kann es ratsamer sein, den Web-Zugang von ServerView RAID Manager zum lokalen System zu beschränken. Die folgenden Optionen können in der Konfigurationsdatei von ServerView RAID Manager modifiziert werden:

  • Bearbeiten Sie die Datei amDPatch.ini im Verzeichnis %ProgramFiles%\Fujitsu\ServerView Suite\RAID Manager\bin (Windows) bzw. /opt/Fujitsu/ServerViewSuite/RAIDManager/bin (Linux, VMware ESX Server).
  • Um externe Verbindungen zur Web-Oberfläche von ServerView RAID Manager abzulehnen, verwenden Sie bitte die folgende Option:
    LocalConnections = 1
    (Standard: LocalConnections = 0) ***)
    Dies ist die empfohlene Einstellung, bis die korrigierte Version von ServerView RAID Manager installiert wurde. Diese Option erlaubt nur lokale Verbindungen zur Web-Oberfläche über die Web-Adresse https://localhost:3173.
  • Zudem können Kunden, die den Zugang zur Web-Oberfläche von ServerView RAID Manager komplett sperren möchten, den Wert SJT aus der Option Modules entfernen:
    Modules = amSNMP, amMPX, amCmd, amEMSV
    (Default: Modules = SJT, amSNMP, amMPX, amCmd, amEMSV) ***)
    Dadurch wird jeder Zugriff auf die Web-Oberfläche von ServerView RAID Manager unterbunden. Es ist dann immer noch möglich, durch Nutzung des lokalen ServerView RAID Manager amCLI-Befehls das RAID des Servers zu verwalten (im Handbuch zum ServerView RAID Manager finden Sie weitere Informationen).
  • Damit die neuen Einstellungen greifen, muss der ServerView RAID Manager Service amService (Windows) bzw. amDaemon (Linux, VMware ESX Server) neu gestartet werden!

***) Überprüfen Sie diese Optionen bitte nach Installation der korrekten Version von ServerView RAID Manager und ändern Sie die Einstellung gegebenenfalls wieder auf den Standardwert.

ServerView Suite auf Linux-Betriebssystemen:

Es ist unbedingt zu empfehlen, das Betriebssystem und den Hypervisor sowie jegliche Hardware, Middleware oder Softwareprodukte auf allen vorhandenen Servern im Hinblick auf die Sicherheitslücke CVE-2014-0160 zu untersuchen und ihre jeweiligen Anbieter um Informationen zu bitten.

Eine betroffene Linux-Distribution sollte schnellstmöglich auf eine nicht betroffene OpenSSL-Version aktualisiert werden. Das erforderliche Verfahren ist hier beschrieben:
https://access.redhat.com/site/solutions/781793

Darüber hinaus müssen zwei symbolische Verknüpfungen angepasst werden, wenn ServerView Operations Manager auf diesen Systemen installiert ist:

  1. Entfernen Sie die folgende vorhandene symbolische Verknüpfung für ServerView / OpenSSL:
    rm /usr/lib/serverview/libssl.so
    rm /usr/lib/serverview/libcrypto.so
  2. Richten Sie neue symbolische Verknüpfungen für ServerView ein, indem Sie auf die aktualisierte – nicht betroffene – OpenSSL-Version verweisen. Das nachfolgende Beispiel zeigt die Befehle für die OpenSSL-Version 1.0.1g:
    ln -s /usr/lib/libssl.so.1.0.1g /usr/lib/serverview/libssl.so
    ln -s /usr/lib/libcrypto.so.1.0.1g /usr/lib/serverview/libcrypto.so

VMware ESXi 5.5

Ein neues Fujitsu Custom Image wurde zur Lösung des Problems des betroffenen VMware-Produktes veröffentlicht. Das Fujitsu Custom Offline Bundle ESXi 5.5 Update 1 (Version 311.1.1746018) wurde veröffentlicht und steht auf dem Web-Server unter Fujitsu Treiber & DownloadsOpen a new window zum Download zur Verfügung.

Zusätzliche Maßnahmen

Nach Anwendung aller erforderlichen Korrekturen für den ServerView RAID Manager und/oder Linux-Betriebssysteme erwägen Sie bitte die Änderung von Zertifikaten, Passwörtern, etc. Suchen Sie bitte im Internet nach weiteren Informationen zur Verfahrensweise. Ein guter Ausgangspunkt ist möglicherweise http://heartbleed.com.


Wichtiger Hinweis:
DIESES DOKUMENT WIRD "SO, WIE ES IST" BEREITGESTELLT UND BEINHALTET KEINERLEI GARANTIE ODER GEWÄHRLEISTUNG, AUCH NICHT DIE GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. DIE NUTZUNG VON INFORMATIONEN AUS IN DIESEM DOKUMENT VERWIESENEN DOKUMENTEN ODER MATERIALIEN ERFOLGT AUF IHRE EIGENE GEFAHR. FUJITSU BEHÄLT SICH DAS RECHT VOR, DIESES DOKUMENT JEDER ZEIT ZU VERÄNDERN ODER AKTUALISIEREN. FUJITSU WIRD DIESES DOKUMENT GGF. AKTUALISIEREN, SOBALD NEUE INFORMATIONEN VERFUEGBAR SIND.

Letzte Aktualisierung: 02.06.2014