IPCOM製品のSSLアクセラレーター機能及び、SSL-VPN機能における、ECDHE一時鍵更新処理の不具合について(更新)
初回掲載日:2024年4月9日(更新日:2024年6月12日)
1.概要
発生現象
SSLアクセラレーター機能または、SSL-VPN機能を使用している装置が1785日以上再起動せずに連続稼働している場合、装置再起動または、装置が応答しない状態となる場合があります。
発生条件
以下の条件に全て該当した場合に発生します。
- SSLアクセラレーター機能または、SSL-VPN機能を使用している。かつ、
- 通信プロトコルとして、SSL3.0/TLS1.0/TLS1.1/TLS1.2のいずれかを設定している。かつ、
- 暗号スイートとして、ECDHE_RSA鍵交換またはECDHE_ECDSA鍵交換を設定*1している。かつ、
- SSL ネゴシエーションで利用する一時鍵の生成動作を一定期間、再利用する設定にしている*2。かつ、
- 装置を1785日以上再起動せずに連続稼働している*3。
尚、発生条件に該当している場合、冗長構成の待機状態の装置でも事象が発生します。
- *1暗号スイートの設定状態は、show ssl-accel server information <id>/<name>コマンドで仮想SSLサーバーの番号<id>または、名前<name>を指定することにより確認可能です。
- *2pfs-negotiationコマンドにtermを設定している場合が該当します。なお、コマンド省略時の設定は以下の通りです(sessionの場合は、本不具合の発生条件には該当しません)。
製品 | コマンド省略時の設定 |
---|---|
IPCOM EX2シリーズ(V01L0x系) | session |
IPCOM EX2シリーズ(V01L20系) | |
IPCOM EX2シリーズ(V02系) | |
IPCOM VE2シリーズ | |
IPCOM EXシリーズ(E20系) | term |
IPCOM VA2/VE1シリーズ | |
IPCOM VAシリーズ |
- *3装置の起動日時は、show system informationコマンドのStartup-timeで確認可能です。
回避方法
上記発生条件に該当する場合に以下のいずれかの方法で回避可能です。
- 稼働日数が1785日となる前に装置再起動を行う。 または、
- SSL ネゴシエーションで利用する一時鍵の生成動作をセッション毎に生成する設定*4に変更する。
- *4pfs-negotiationコマンドでsessionを設定することで、SSL ネゴシエーションで利用する一時鍵をセッション毎に生成する設定にすることが出来ます。なお、処理性能に影響が発生する可能性がありますのでお問い合わせください。
2.該当製品
本不具合の影響を受けるIPCOM製品及び、ファームウェア版数は以下の通りです。
凡例:「―」…本不具合の影響なし / 「あり」…本不具合の影響あり / 「空欄」…製品なし / 「調査中」…確認中(後報)
IPCOM EX2シリーズ(V01L0x系) 対象版数:V01L02 NF0001~
V01L0x系 | |||
---|---|---|---|
1100/1100B | 3200 | 3500 | |
IPCOM EX2 IN | あり | あり | |
IPCOM EX2 LB | ― | あり | あり |
IPCOM EX2 SC | ― | あり | あり |
IPCOM EX2 NW | ― | ― | ― |
※EX2-1100BはV01L07 NF0001~
IPCOM EX2シリーズ(V01L20系) 対象版数:V01L20 NF0001~
V01L20系 | |||
---|---|---|---|
1100 | 3200 | 3500 | |
IPCOM EX2 DC | あり | あり |
IPCOM EX2シリーズ(V02系) 対象版数:V02L20 NF0001~
V02系 | |||
---|---|---|---|
1100 | 3200 | 3500 | |
IPCOM EX2 DC | あり | あり |
IPCOM EXシリーズ(E20系) 対象版数:E20L33 NF0301~
IPCOM EX | E20系 | ||||
---|---|---|---|---|---|
1100 | 1300 | 2300 | 2500 | 2700 | |
IPCOM EX IN | ― | ― | あり | あり | あり |
IPCOM EX LB | ― | ― | あり | あり | あり |
IPCOM EX SC | ― | ― | あり | あり | あり |
IPCOM EX NW | ― | ― | ― | ― | ― |
IPCOM EXシリーズ(E30系) 対象版数:影響なし
IPCOM EX | E30系 |
---|---|
2700 | |
IPCOM EX IN | ― |
IPCOM EX LB | ― |
IPCOM EX SC | ― |
IPCOM EX NW |
IPCOM VE2シリーズ 対象版数:V01L04 NF0001~
100 | 200 | 220 | |
---|---|---|---|
IPCOM VE2 LS | あり | あり | あり |
IPCOM VE2 LS PLUS | あり | あり | あり |
IPCOM VE2 LS PLUS2 | あり | あり | |
IPCOM VE2 SC | ― | ― | ― |
IPCOM VE2 SC PLUS | あり | あり | あり |
IPCOM VA2/VE1シリーズ 対象版数:E20L33 NF0501~
1300 | 2300 | 2500 | TYPE01 | TYPE02 | TYPE03 | |
---|---|---|---|---|---|---|
IPCOM VA2 LS | あり | あり | あり | |||
IPCOM VA2 SC | あり | あり | あり | |||
IPCOM VE1 LS | あり | あり | あり | |||
IPCOM VE1 SC | あり | あり | あり |
IPCOM VAシリーズ 対象版数:E20L33 NF0401~
1100 | 1700 | |
---|---|---|
IPCOM VA LB | ― | あり |
IPCOM VA SC | ― | あり |
3.対処版数、時期
製品 | 対処版数 | 対処済み版数の取得方法 |
---|---|---|
IPCOM EX2シリーズ(V01L0x系) | V01L07NF0301 | *1 |
IPCOM EX2シリーズ(V01L20系) | V01L20NF0401 | *1 |
IPCOM EX2シリーズ(V02系) | V02L21NF0501 | *1 |
IPCOM EXシリーズ(E20系) | ― | *2 |
IPCOM EXシリーズ(E30系) | ― | *2 |
IPCOM VE2シリーズ | V01L07NF0301 | *1 |
IPCOM VA2/VE1シリーズ | ― | *2 |
IPCOM VAシリーズ | ― | *2 |
- *1SupportDeskの契約が必要です。
対処版数はお客様専用ホームページ[SupportDesk-Web]内の各製品ページ内から取得して下さい。 - *2保守終了済製品のため対処予定はありません。回避策の適用をご検討ください。
4.お問い合わせ窓口
本事象の内容及び対処方法に関するお問い合わせにつきましては、以下のお問い合わせ窓口にて対応させていただきます。
必要事項をご記入の上、以下の宛先まで、メールにてご連絡くださいますようお願いいたします。別途、弊社担当者より、お問い合わせ内容についてご回答させていただきます。
※ なお、お問い合わせいただきました内容によっては、ご回答までに時間を要する場合がありますので、予めご了承願います。
IPCOMお問い合わせ窓口(メール受付:9:00-17:00、ただし弊社規定の休業日を除く)
E-Mail: contact-fj-ipcom-vul22-01@cs.jp.fujitsu.com
必要事項
- お客様名(会社名、ご担当者名、ご連絡先E-mailアドレス)
- 弊社担当営業部門、販売パートナー担当営業部門、担当者名 ※不明な場合は記入不要です。
- 機種名(装置型名、装置号機)
- お問い合わせ内容
この製品に関するお問い合わせは、富士通株式会社のフォームを使用し、2024年4月1日よりエフサステクノロジーズ株式会社が対応いたします。