Symfoware Server: OpenSSLの脆弱性(CVE-2014-0160) (2014年5月13日)
1. 脆弱性の説明
Symfoware Serverのクライアント-サーバ間の通信路でSSLによる暗号化を有効にしている場合(※)、 バッファエラーの脆弱性問題があります。
本脆弱性問題は、CVE-2014-0160に該当します。
※) postgresql.confのsslパラメタをonにしている
Symfoware Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/database/symfoware/products/symfowareserver/
富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
悪意あるプログラムがバッファエラーの脆弱性を利用することで暗号化キーや顧客情報などが漏洩する可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNおよびIPAの公開情報を参照願います。
3. 該当システム・対策情報
3-1.該当システム
PRIMEQUEST, PRIMERGY, GP5000, CELSIUS, FMV, PRIMEPOWER, GP7000F, GP-S, 富士通 S Series, SPARC Enterprise, SPARC M10
3-2.該当製品・対策Patch
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Symfoware Server Client(Openインタフェース) | V12.0.0/ V12.0.0A/ V12.0.0B/ V12.0.0C | Solaris 10/ 11 | FJSVsymci12006 | T009313SP-01[※1]/ T009314SP-01[※2] |
Symfoware Server Lite Edition(Openインタフェース) | V12.0.0/ V12.0.0A | Solaris 10/ 11 | FJSVsymdb12006 | T009315SP-01 |
Symfoware Server Standard Edition(Openインタフェース) | V12.0.0/ V12.0.0A | Solaris 10/ 11 | FJSVsymdb12006 | T009315SP-01 |
Symfoware Server Client(Openインタフェース) | V12.0.0/ V12.0.0A/ V12.0.0B/ V12.0.0C | Windows XP/ Windows Vista/ Windows 7/ Windows 8/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012/ Windows Web Server 2008/ Windows Web Server 2008 R2 | - | T009318WP-01[※1]/ T009975WP-01[※2] |
Symfoware Server Lite Edition(Openインタフェース) | V12.0.0/ V12.0.0A | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012 | - | T009319WP-01[※1]/ T009322XP-01[※2] |
Symfoware Server Standard Edition(Openインタフェース) | V12.0.0/ V12.0.0A | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012 | - | T009319WP-01[※1]/ T009322XP-01[※2] |
Symfoware Server Client(Openインタフェース) | V12.0.0/ V12.0.0A/ V12.0.0B/ V12.0.0C | RHEL5(x86)/ RHEL5(Intel64) | FJSVsymci12006 | T009324LP-01 |
Symfoware Server Client(Openインタフェース) | V12.0.0/ V12.0.0A/ V12.0.0B/ V12.0.0C | RHEL6(x86)/ RHEL6(Intel64) | FJSVsymci12006 | T009325LP-01 |
Symfoware Server Lite Edition(Openインタフェース) | V12.0.0 | RHEL5(x86) | FJSVsymdb12006 | T009326LP-02 |
Symfoware Server Lite Edition(Openインタフェース) | V12.0.0 | RHEL6(x86) | FJSVsymdb12006 | T009327LP-02 |
Symfoware Server Standard Edition(Openインタフェース) | V12.0.0/ V12.0.0A | RHEL5(x86) | FJSVsymdb12006 | T009326LP-02 |
Symfoware Server Standard Edition(Openインタフェース) | V12.0.0/ V12.0.0A | RHEL6(x86) | FJSVsymdb12006 | T009327LP-02 |
Symfoware Server Client(Openインタフェース) | V12.0.0/ V12.0.0A/ V12.0.0B/ V12.0.0C | RHEL5(Intel64) | FJSVsymci12006 | T009330LP-01 |
Symfoware Server Client(Openインタフェース) | V12.0.0/ V12.0.0A/ V12.0.0B/ V12.0.0C | RHEL6(Intel64) | FJSVsymci12006 | T009331LP-01 |
Symfoware Server Lite Edition(Openインタフェース) | V12.0.0/ V12.0.0A | RHEL5(Intel64) | FJSVsymdb12006 | T009332LP-02 |
Symfoware Server Lite Edition(Openインタフェース) | V12.0.0/ V12.0.0A | RHEL6(Intel64) | FJSVsymdb12006 | T009333LP-02 |
Symfoware Server Standard Edition(Openインタフェース) | V12.0.0/ V12.0.0A | RHEL5(Intel64) | FJSVsymdb12006 | T009332LP-02 |
Symfoware Server Standard Edition(Openインタフェース) | V12.0.0/ V12.0.0A | RHEL6(Intel64) | FJSVsymdb12006 | T009333LP-02 |
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Symfoware Analytics Server Standard Edition | V12.0.0 | Windows Server 2008 R2 | - | [※4] |
Symfoware Analytics Server Standard Edition | V12.0.0 | RHEL6(Intel64) | - | [※5] |
- [※1] 32bitモジュールに対するパッチです。
- [※2] 64bitモジュールに対するパッチです。
- [※3] Symfoware Analytics Server Standard Edition (64bit) V12.0.0では、Symfoware Server Standard Edition(Openインタフェース) V12.0.0Aを同梱しています。
- [※4] Symfoware Server Standard Edition(Openインタフェース) V12.0.0A(Windows Server 2008 R2)の修正および対応Clientの修正を適用してください。
- [※5] Symfoware Server Standard Edition(Openインタフェース) V12.0.0A(RHEL6(Intel64))の修正および対応Clientの修正を適用してください。
- 修正情報などの入手は、 FUJITSU Managed Infrastructure Service SupportDeskの契約が必要です。お問い合わせは SupportDesk からお願いします。
参考: 該当製品の確認方法
製品のバージョンを確認するには、製品に添付されている「ソフトウェア説明書」を参照してください。
3-3. 回避方法
回避方法はありません。 3-2.に示すセキュリティパッチを適用してください。
4. 関連情報
- CVE-2014-0160
The (1) TLS and (2) DTLS implementations in OpenSSL 1.0.1 before 1.0.1g do not properly handle Heartbeat Extension packets, which allows remote attackers to obtain sensitive information from process memory via crafted packets that trigger a buffer over-read, as demonstrated by reading private keys, related to d1_both.c and t1_lib.c, aka the Heartbleed bug.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160 - JVNDB-2014-001920
OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001920.html
5. 改版履歴
- 2014年5月13日 第2版「3-2. 該当製品・対策Patch」にSymfoware Analytics Serverを追記
- 2014年5月1日 新規掲載