Symfoware Server: OpenSSLの脆弱性(CVE-2014-0160) (2014年5月13日)


本セキュリティサイトについてのご注意

1. 脆弱性の説明

Symfoware Serverのクライアント-サーバ間の通信路でSSLによる暗号化を有効にしている場合(※)、 バッファエラーの脆弱性問題があります。
本脆弱性問題は、CVE-2014-0160に該当します。
※) postgresql.confのsslパラメタをonにしている

Symfoware Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/database/symfoware/products/symfowareserver/

富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

悪意あるプログラムがバッファエラーの脆弱性を利用することで暗号化キーや顧客情報などが漏洩する可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNおよびIPAの公開情報を参照願います。

3. 該当システム・対策情報

3-1.該当システム

PRIMEQUEST, PRIMERGY, GP5000, CELSIUS, FMV, PRIMEPOWER, GP7000F, GP-S, 富士通 S Series, SPARC Enterprise, SPARC M10

3-2.該当製品・対策Patch

Symfoware Server
製品名バージョン対象OSパッケージ名Patch ID
Symfoware Server Client(Openインタフェース)V12.0.0/ V12.0.0A/ V12.0.0B/ V12.0.0CSolaris 10/ 11FJSVsymci12006T009313SP-01[※1]/ T009314SP-01[※2]
Symfoware Server Lite Edition(Openインタフェース)V12.0.0/ V12.0.0ASolaris 10/ 11FJSVsymdb12006T009315SP-01
Symfoware Server Standard Edition(Openインタフェース)V12.0.0/ V12.0.0ASolaris 10/ 11FJSVsymdb12006T009315SP-01
Symfoware Server Client(Openインタフェース)V12.0.0/ V12.0.0A/ V12.0.0B/ V12.0.0CWindows XP/ Windows Vista/ Windows 7/ Windows 8/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Web Server 2008/ Windows Web Server 2008 R2-T009318WP-01[※1]/ T009975WP-01[※2]
Symfoware Server Lite Edition(Openインタフェース)V12.0.0/ V12.0.0AWindows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012-T009319WP-01[※1]/ T009322XP-01[※2]
Symfoware Server Standard Edition(Openインタフェース)V12.0.0/ V12.0.0AWindows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012-T009319WP-01[※1]/ T009322XP-01[※2]
Symfoware Server Client(Openインタフェース)V12.0.0/ V12.0.0A/ V12.0.0B/ V12.0.0CRHEL5(x86)/ RHEL5(Intel64)FJSVsymci12006T009324LP-01
Symfoware Server Client(Openインタフェース)V12.0.0/ V12.0.0A/ V12.0.0B/ V12.0.0CRHEL6(x86)/ RHEL6(Intel64)FJSVsymci12006T009325LP-01
Symfoware Server Lite Edition(Openインタフェース)V12.0.0RHEL5(x86)FJSVsymdb12006T009326LP-02
Symfoware Server Lite Edition(Openインタフェース)V12.0.0RHEL6(x86)FJSVsymdb12006T009327LP-02
Symfoware Server Standard Edition(Openインタフェース)V12.0.0/ V12.0.0ARHEL5(x86)FJSVsymdb12006T009326LP-02
Symfoware Server Standard Edition(Openインタフェース)V12.0.0/ V12.0.0ARHEL6(x86)FJSVsymdb12006T009327LP-02
Symfoware Server Client(Openインタフェース)V12.0.0/ V12.0.0A/ V12.0.0B/ V12.0.0CRHEL5(Intel64)FJSVsymci12006T009330LP-01
Symfoware Server Client(Openインタフェース)V12.0.0/ V12.0.0A/ V12.0.0B/ V12.0.0CRHEL6(Intel64)FJSVsymci12006T009331LP-01
Symfoware Server Lite Edition(Openインタフェース)V12.0.0/ V12.0.0ARHEL5(Intel64)FJSVsymdb12006T009332LP-02
Symfoware Server Lite Edition(Openインタフェース)V12.0.0/ V12.0.0ARHEL6(Intel64)FJSVsymdb12006T009333LP-02
Symfoware Server Standard Edition(Openインタフェース)V12.0.0/ V12.0.0ARHEL5(Intel64)FJSVsymdb12006T009332LP-02
Symfoware Server Standard Edition(Openインタフェース)V12.0.0/ V12.0.0ARHEL6(Intel64)FJSVsymdb12006T009333LP-02
Symfoware Analytics Server[※3]
製品名バージョン対象OSパッケージ名Patch ID
Symfoware Analytics Server Standard EditionV12.0.0Windows Server 2008 R2-[※4]
Symfoware Analytics Server Standard EditionV12.0.0RHEL6(Intel64)-[※5]
  • [※1] 32bitモジュールに対するパッチです。
  • [※2] 64bitモジュールに対するパッチです。
  • [※3] Symfoware Analytics Server Standard Edition (64bit) V12.0.0では、Symfoware Server Standard Edition(Openインタフェース) V12.0.0Aを同梱しています。
  • [※4] Symfoware Server Standard Edition(Openインタフェース) V12.0.0A(Windows Server 2008 R2)の修正および対応Clientの修正を適用してください。
  • [※5] Symfoware Server Standard Edition(Openインタフェース) V12.0.0A(RHEL6(Intel64))の修正および対応Clientの修正を適用してください。
  • 修正情報などの入手は、 FUJITSU Managed Infrastructure Service SupportDeskの契約が必要です。お問い合わせは SupportDesk からお願いします。

参考: 該当製品の確認方法

製品のバージョンを確認するには、製品に添付されている「ソフトウェア説明書」を参照してください。

3-3. 回避方法

回避方法はありません。 3-2.に示すセキュリティパッチを適用してください。

4. 関連情報

5. 改版履歴

  • 2014年5月13日 第2版「3-2. 該当製品・対策Patch」にSymfoware Analytics Serverを追記
  • 2014年5月1日 新規掲載

ページの先頭へ