本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

IPCOM製品のSSLアクセラレーター機能及び、SSL-VPN機能における、ECDHE一時鍵更新処理の不具合について(更新) 

初回掲載日:2024年4月9日(更新日:2024年4月17日)

1.概要

発生現象

SSLアクセラレーター機能または、SSL-VPN機能を使用している装置が1785日以上再起動せずに連続稼働している場合、装置再起動または、装置が応答しない状態となる場合があります。

発生条件

以下の条件に全て該当した場合に発生します。

  1. SSLアクセラレーター機能または、SSL-VPN機能を使用している。かつ、
  2. 通信プロトコルとして、SSL3.0/TLS1.0/TLS1.1/TLS1.2のいずれかを設定している。かつ、
  3. 暗号スイートとして、ECDHE_RSA鍵交換またはECDHE_ECDSA鍵交換を設定*1している。かつ、
  4. SSL ネゴシエーションで利用する一時鍵の生成動作を一定期間、再利用する設定にしている*2。かつ、
  5. 装置を1785日以上再起動せずに連続稼働している*3。

尚、発生条件に該当している場合、冗長構成の待機状態の装置でも事象が発生します。

  • *1
    暗号スイートの設定状態は、show ssl-accel server information <id>/<name>コマンドで仮想SSLサーバーの番号<id>または、名前<name>を指定することにより確認可能です。
  • *2
    pfs-negotiationコマンドにtermを設定している場合が該当します。なお、コマンド省略時の設定は以下の通りです(sessionの場合は、本不具合の発生条件には該当しません)。
製品 コマンド省略時の設定
IPCOM EX2シリーズ(V01L0x系) session
IPCOM EX2シリーズ(V01L20系)
IPCOM EX2シリーズ(V02系)
IPCOM VE2シリーズ
IPCOM EXシリーズ(E20系) term
IPCOM VA2/VE1シリーズ
IPCOM VAシリーズ
  • *3
    装置の起動日時は、show system informationコマンドのStartup-timeで確認可能です。

回避方法

上記発生条件に該当する場合に以下のいずれかの方法で回避可能です。

  1. 稼働日数が1785日となる前に装置再起動を行う。 または、
  2. SSL ネゴシエーションで利用する一時鍵の生成動作をセッション毎に生成する設定*4に変更する。
  • *4
    pfs-negotiationコマンドでsessionを設定することで、SSL ネゴシエーションで利用する一時鍵をセッション毎に生成する設定にすることが出来ます。なお、処理性能に影響が発生する可能性がありますのでお問い合わせください。

2.該当製品

本不具合の影響を受けるIPCOM製品及び、ファームウェア版数は以下の通りです。

凡例:「―」…本不具合の影響なし / 「あり」…本不具合の影響あり / 「空欄」…製品なし / 「調査中」…確認中(後報)

IPCOM EX2シリーズ(V01L0x系) 対象版数:V01L02 NF0001~

V01L0x系
1100/1100B 3200 3500
IPCOM EX2 IN あり あり
IPCOM EX2 LB あり あり
IPCOM EX2 SC あり あり
IPCOM EX2 NW

※EX2-1100BはV01L07 NF0001~

IPCOM EX2シリーズ(V01L20系) 対象版数:V01L20 NF0001~

V01L20系
1100 3200 3500
IPCOM EX2 DC あり あり

IPCOM EX2シリーズ(V02系) 対象版数:V02L20 NF0001~

V02系
1100 3200 3500
IPCOM EX2 DC あり あり

IPCOM EXシリーズ(E20系) 対象版数:E20L33 NF0301~

IPCOM EX E20系
1100 1300 2300 2500 2700
IPCOM EX IN あり あり あり
IPCOM EX LB あり あり あり
IPCOM EX SC あり あり あり
IPCOM EX NW

IPCOM EXシリーズ(E30系) 対象版数:影響なし

IPCOM EX E30系
2700
IPCOM EX IN
IPCOM EX LB
IPCOM EX SC
IPCOM EX NW

IPCOM VE2シリーズ 対象版数:V01L04 NF0001~

100 200 220
IPCOM VE2 LS あり あり あり
IPCOM VE2 LS PLUS あり あり あり
IPCOM VE2 LS PLUS2 あり あり
IPCOM VE2 SC
IPCOM VE2 SC PLUS あり あり あり

IPCOM VA2/VE1シリーズ 対象版数:E20L33 NF0501~

1300 2300 2500 TYPE01 TYPE02 TYPE03
IPCOM VA2 LS あり あり あり
IPCOM VA2 SC あり あり あり
IPCOM VE1 LS あり あり あり
IPCOM VE1 SC あり あり あり

IPCOM VAシリーズ 対象版数:E20L33 NF0401~

1100 1700
IPCOM VA LB あり
IPCOM VA SC あり

3.対処版数、時期

製品 対処版数 対処済み版数の取得方法
IPCOM EX2シリーズ(V01L0x系) 後報 *1
IPCOM EX2シリーズ(V01L20系) 後報 *1
IPCOM EX2シリーズ(V02系) 後報 *1
IPCOM EXシリーズ(E20系) *2
IPCOM EXシリーズ(E30系) *2
IPCOM VE2シリーズ 後報 *1
IPCOM VA2/VE1シリーズ *2
IPCOM VAシリーズ *2
  • *1
    SupportDeskの契約が必要です。
    対処版数はお客様専用ホームページ[SupportDesk-Web]内の各製品ページ内から取得して下さい。
  • *2
    保守終了済製品のため対処予定はありません。回避策の適用をご検討ください。

4.お問い合わせ窓口

本事象の内容及び対処方法に関するお問い合わせにつきましては、以下のお問い合わせ窓口にて対応させていただきます。
必要事項をご記入の上、以下の宛先まで、メールにてご連絡くださいますようお願いいたします。別途、弊社担当者より、お問い合わせ内容についてご回答させていただきます。

※  なお、お問い合わせいただきました内容によっては、ご回答までに時間を要する場合がありますので、予めご了承願います。

IPCOMお問い合わせ窓口(メール受付:9:00-17:00、ただし弊社規定の休業日を除く)

E-Mail: contact-fj-ipcom-vul22-01@cs.jp.fujitsu.com

必要事項

  1. お客様名(会社名、ご担当者名、ご連絡先E-mailアドレス)
  2. 弊社担当営業部門、販売パートナー担当営業部門、担当者名 ※不明な場合は記入不要です。
  3. 機種名(装置型名、装置号機)
  4. お問合せ内容

この製品に関するお問い合わせは、富士通株式会社のフォームを使用し、2024年4月1日よりエフサステクノロジーズ株式会社が対応いたします。