Systemwalker Runbook Automation: OpenSSL における Change Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224) (2014年8月11日)
1. 脆弱性の説明
Systemwalker Runbook Automation の以下の機能および条件の場合、OpenSSL における Change Cipher Spec メッセージの処理に脆弱性の問題が存在します。
- Systemwalker Runbook Automationのバージョンが以下のいずれかである。かつ、
- V14.0.0、または、
- V14.1.0、または、
- V14.1.0A
- 運用操作部品「REST型の通信を行う」を使用する。かつ、
- protocoltypeオプションに"https"を指定している。かつ、
- REST通信の対象サーバが、以下のOpenSSLのバージョンを使用している場合。
- 1.0.1から1.0.1g
または
- 通信ライブラリrest_requestまたはrest_request_basicを利用した独自の運用操作部品を作成して使用する。かつ、
- protocoltypeオプションに"https"を指定している。かつ、
- REST通信の対象サーバが、以下のOpenSSLのバージョンを使用している場合。
- 1.0.1から1.0.1g
Systemwalker Runbook Automationについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/systemwalker/products/runbook/
富士通は、3-3.に示す回避策を提供していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
Systemwalker Runbook Automation の通信データが、中間者攻撃(man-in-the-middle attack)によって解読されたり、改ざんされたりする可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNの公開情報を参照願います。
3. 該当システム・対策情報
3-1.該当システム
PRIMERGY, GP5000, PRIMEQUEST, CELSIUS, FMV
3-2.該当製品・対策Patch
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Systemwalker Runbook Automation | 14.0.0 | Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64) | - | 未定 |
Systemwalker Runbook Automation | 14.1.0 | Windows Server 2003 R2(x86)/ 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64) | - | T005253WP-04 |
Systemwalker Runbook Automation | 14.1.0A | Windows Server 2003 R2(x86)/ 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64) | - | 未定 |
Systemwalker Runbook Automation | 14.1.0 | RHEL5(for x86)/ RHEL5(for Intel64) | - | T005254WP-04 |
Systemwalker Runbook Automation | 15.0.0/15.0.0A | Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64)/ Windows Small Business Server 2011 | - | 未定 |
Systemwalker Runbook Automation | 15.0.0 | RHEL5(for x86)/ RHEL5(for Intel64)/ RHEL6(for x86)/ RHEL6(for Intel64) | - | 未定 |
Systemwalker Runbook Automation | 15.1.0 | Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64)/ Windows Small Business Server 2011 | - | 未定 |
Systemwalker Runbook Automation | 15.1.0 | RHEL5(for x86)/ RHEL5(for Intel64)/ RHEL6(for x86)/ RHEL6(for Intel64) | - | 未定 |
Systemwalker Runbook Automation | 15.1.1 | Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64)/ Windows Small Business Server 2011 | - | 未定 |
Systemwalker Runbook Automation | 15.1.1 | RHEL5(for x86)/ RHEL5(for Intel64)/ RHEL6(for x86)/ RHEL6(for Intel64) | - | 未定 |
Systemwalker Runbook Automation | 15.1.2/15.1.2A | Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64)/ Windows Server 2012 (x64)/ Windows Small Business Server 2011 | - | 未定 |
Systemwalker Runbook Automation | 15.1.2 | RHEL5(for x86)/ RHEL5(for Intel64)/ RHEL6(for x86)/ RHEL6(for Intel64) | - | 未定 |
Systemwalker Runbook Automation | 15.1.3 | Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64)/ Windows Server 2012 (x64)/ Windows Server 2012 R2(x64)/ Windows Small Business Server 2011 | - | 未定 |
Systemwalker Runbook Automation | 15.1.3 | RHEL5(for x86)/ RHEL5(for Intel64)/ RHEL6(for x86)/ RHEL6(for Intel64) | - | 未定 |
パッチ入手に関しては、当社サポートセンターにお問い合わせください。
参考: 該当製品の確認方法
【製品バージョンレベルの確認方法】
- Windowsの場合
- スタートメニューで[Fujitsu]-[アンインストールと管理(ミドルウェア)]を選択します。
- 「Systemwalker Runbook Automation」のバージョンレベルを確認します。
- コントロールパネルで[プログラムと機能]を選択します。
- 「Systemwalker Runbook Automation」のバージョンレベルを確認します。
- Linuxの場合
- アンインストールと管理(ミドルウェア)で確認します。
コンソール画面より以下のコマンドを入力します。
# /opt/FJSVcir/cir/bin/cimanager.sh -c
- コンソール画面より以下のコマンドを入力します。
パッケージ名はソフトウェア説明書で確認します。
# rpm -iq パッケージ名
(例)Managerのバージョンレベルを確認する場合
# rpm -iq FJSVswrbam
- アンインストールと管理(ミドルウェア)で確認します。
3-3. 回避方法
REST通信の対象サーバのOpenSSLのバージョンを以下にします。
・1.0.1h以降
4. 関連情報
- JVN#61247051
「OpenSSL における Change Cipher Spec メッセージの処理に脆弱性」
http://jvn.jp/jp/JVN61247051/index.html - CVE-2014-0224
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
5. 改版履歴
- 2014年8月11日 第3版
- 「3-2. 該当製品・対策Patch」に提供済Patch IDを記載
- 2014年6月23日 第2版
- 「3-2. 該当製品・対策Patch」に提供済Patch IDを記載
- 2014年6月13日 新規掲載