GTM-MML4VXJ
Skip to main content

CVE-2014-3566(JVNVU#98283300、TA14-290A)

「SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE攻撃)」への富士通製品の対応について

平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。

SSLv3 プロトコルに暗号化データを解読される脆弱性が存在します。
SSLv3 をサポートするプログラムは、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能性があります。

掲記脆弱性に関しまして、お問い合わせの多い製品の影響情報を順次ご案内いたします。
一覧に無いその他の製品につきましても、各製品のページで順次ご案内していきます。

一般的な回避方法

可能な場合は、各製品の設定でSSLv3を無効にしてください。

影響

◇ ソフトウェア製品
ブランド 製品 影響 備考
Interstage Interstage Application Server 有り SSLによる暗号化通信を使用する設定を行っている場合は、SSL 3.0プロトコルを使用して通信する可能性があります。
マニュアルにしたがって、SSL 3.0を無効にし、他のプロトコルバージョンを指定してください。
Oracle Solaris 有り 詳細は、以下のOracle社の公開情報(英語サイト)をご確認ください。
・SSL V3.0 "Poodle" Vulnerability - CVE-2014-3566
http://www.oracle.com/technetwork/topics/security/poodlecve-2014-3566-2339408.html
Red Hat Enterprise Linux 有り 詳細は、以下のRedHat社の公開情報(英語サイト)をご確認ください。
Windows OS 有り 詳細は、以下のマイクロソフト社の公開情報をご確認ください。

※その他の製品の影響については、各製品ホームページ等をご確認ください。

◇ ネットワーク製品
ブランド 製品 影響 備考
IPCOM 有り 詳細は、以下の製品サイトをご覧ください。
◇ ハードウェア添付のソフトウェア
ブランド 製品 影響 備考
ServerView ServerView Operations Manager for Windows
(OMとRemoteConnector)
有り 詳細は、以下の製品サイトをご覧ください。
ServerView Operations Manager for Linux
(OMとRemoteConnector)
ServerView Storage Manager for Windows
ServerView Storage Manager for Linux
ServerView RAID Manager for Windows
ServerView RAID Manager for Linux
◇ ハードウェア製品
ブランド 製品 影響 備考
SPARC M10 XCPファームウェア 有り 本製品のXCP2232版以前をご利用の場合、かつ、以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。
  1. SSHクライアントからXSCFに接続しSCFシェルを利用している場合。
  2. XSCF Webをブラウザから接続し利用している場合。
  3. XSCFの設定情報やログ情報を通信するコマンドを利用している場合、かつ、その通信にSCPのプロトコルを使用している場合。
  4. setldap(8)コマンドでLDAP認証を有効にしている場合、かつ、setldap -cを使用し、CA証明書を設定している場合。
  5. setldapssl(8)コマンドでLDAP認証を有効にしている場合。
  6. REMCS通報機能を使用し、メールの暗号タイプに「S/MIME」を使用している場合。
暫定回避として、各通信相手側でSSLv3を使用しないように設定してください。
正式回避としては、SSLv3を無効化したXCP2240版以降へファームウェア・アップデートをお願い致します。
SPARC Enterprise
Mシリーズ
XCPファームウェア 有り 本製品のXCP1118版以前をご利用の場合、かつ、以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。
  1. SSHクライアントからXSCFに接続しSCFシェルを利用している場合。
  2. XSCF Webをブラウザから接続し利用している場合。
  3. XSCFの設定情報やログ情報を通信するコマンドを利用している場合、かつ、その通信にSCPのプロトコルを使用している場合。
  4. setldap(8)コマンドでLDAP認証を有効にしている場合、かつ、setldap -cを使用し、CA証明書を設定している場合。
  5. setldapssl(8)コマンドでLDAP認証を有効にしている場合。
暫定回避として、各通信相手側でSSLv3を使用しないように設定してください。
正式回避としては、SSLv3を無効化したXCP1119版以降へファームウェア・アップデートをお願い致します。

問い合わせ先

  • 各製品の修正情報などの入手は、FUJITSU Managed Infrastructure Service SupportDesk の契約が必要です。
    各製品についてのお問い合わせは、お客様専用ホームページ[SupportDesk-Web]からお願いします。

参考情報

更新履歴

  • 2015年2月5日:
    • ハードウェア製品「SPARC M10」、「SPARC Enterprise Mシリーズ」の備考に対応ファームウェア情報を追加
  • 2015年1月22日:
    • ハードウェア添付のソフトウェア「ServerView」の備考に製品情報を追加
  • 2014年11月11日:
    • ハードウェア製品「SPARC M10 XCPファームウェア」、「SPARC Enterprise XCPファームウェア」の情報を追加
  • 2014年11月6日:ネットワーク製品「IPCOM」の影響を更新、備考に製品情報を追加
  • 2014年10月21日:新規掲載