Systemwalker Runbook Automation: OpenSSL における Change Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224) (2014年8月11日)


本セキュリティサイトについてのご注意

1. 脆弱性の説明

Systemwalker Runbook Automation の以下の機能および条件の場合、OpenSSL における Change Cipher Spec メッセージの処理に脆弱性の問題が存在します。

  1. Systemwalker Runbook Automationのバージョンが以下のいずれかである。かつ、
    1. V14.0.0、または、
    2. V14.1.0、または、
    3. V14.1.0A
  2. 運用操作部品「REST型の通信を行う」を使用する。かつ、
  3. protocoltypeオプションに"https"を指定している。かつ、
  4. REST通信の対象サーバが、以下のOpenSSLのバージョンを使用している場合。
    1. 1.0.1から1.0.1g

または

  1. 通信ライブラリrest_requestまたはrest_request_basicを利用した独自の運用操作部品を作成して使用する。かつ、
  2. protocoltypeオプションに"https"を指定している。かつ、
  3. REST通信の対象サーバが、以下のOpenSSLのバージョンを使用している場合。
    1. 1.0.1から1.0.1g

Systemwalker Runbook Automationについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/systemwalker/products/runbook/

富士通は、3-3.に示す回避策を提供していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

Systemwalker Runbook Automation の通信データが、中間者攻撃(man-in-the-middle attack)によって解読されたり、改ざんされたりする可能性があります。

本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNの公開情報を参照願います。

3. 該当システム・対策情報

3-1.該当システム

PRIMERGY, GP5000, PRIMEQUEST, CELSIUS, FMV

3-2.該当製品・対策Patch

Systemwalker Runbook Automation
製品名バージョン対象OSパッケージ名Patch ID
Systemwalker Runbook Automation14.0.0Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64)-未定
Systemwalker Runbook Automation14.1.0Windows Server 2003 R2(x86)/ 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64)-T005253WP-04
Systemwalker Runbook Automation14.1.0AWindows Server 2003 R2(x86)/ 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64)-未定
Systemwalker Runbook Automation14.1.0RHEL5(for x86)/ RHEL5(for Intel64)-T005254WP-04
Systemwalker Runbook Automation15.0.0/15.0.0AWindows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64)/ Windows Small Business Server 2011-未定
Systemwalker Runbook Automation15.0.0RHEL5(for x86)/ RHEL5(for Intel64)/ RHEL6(for x86)/ RHEL6(for Intel64)-未定
Systemwalker Runbook Automation15.1.0Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64)/ Windows Small Business Server 2011-未定
Systemwalker Runbook Automation15.1.0RHEL5(for x86)/ RHEL5(for Intel64)/ RHEL6(for x86)/ RHEL6(for Intel64)-未定
Systemwalker Runbook Automation15.1.1Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64)/ Windows Small Business Server 2011-未定
Systemwalker Runbook Automation15.1.1RHEL5(for x86)/ RHEL5(for Intel64)/ RHEL6(for x86)/ RHEL6(for Intel64)-未定
Systemwalker Runbook Automation15.1.2/15.1.2AWindows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64)/ Windows Server 2012 (x64)/ Windows Small Business Server 2011-未定
Systemwalker Runbook Automation15.1.2RHEL5(for x86)/ RHEL5(for Intel64)/ RHEL6(for x86)/ RHEL6(for Intel64)-未定
Systemwalker Runbook Automation15.1.3Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x86)/ Windows Server 2008 R2(x64)/ Windows Server 2012 (x64)/ Windows Server 2012 R2(x64)/ Windows Small Business Server 2011-未定
Systemwalker Runbook Automation15.1.3RHEL5(for x86)/ RHEL5(for Intel64)/ RHEL6(for x86)/ RHEL6(for Intel64)-未定

パッチ入手に関しては、当社サポートセンターにお問い合わせください。

参考: 該当製品の確認方法

【製品バージョンレベルの確認方法】

  • Windowsの場合
    1. スタートメニューで[Fujitsu]-[アンインストールと管理(ミドルウェア)]を選択します。
    2. 「Systemwalker Runbook Automation」のバージョンレベルを確認します。
    または、
    1. コントロールパネルで[プログラムと機能]を選択します。
    2. 「Systemwalker Runbook Automation」のバージョンレベルを確認します。
  • Linuxの場合
    • アンインストールと管理(ミドルウェア)で確認します。
      コンソール画面より以下のコマンドを入力します。
        # /opt/FJSVcir/cir/bin/cimanager.sh -c
    または
    • コンソール画面より以下のコマンドを入力します。
      パッケージ名はソフトウェア説明書で確認します。
        # rpm -iq パッケージ名
        (例)Managerのバージョンレベルを確認する場合
          # rpm -iq FJSVswrbam

3-3. 回避方法

REST通信の対象サーバのOpenSSLのバージョンを以下にします。
    ・1.0.1h以降

4. 関連情報

5. 改版履歴

  • 2014年8月11日 第3版
    • 「3-2. 該当製品・対策Patch」に提供済Patch IDを記載
  • 2014年6月23日 第2版
    • 「3-2. 該当製品・対策Patch」に提供済Patch IDを記載
  • 2014年6月13日 新規掲載

ページの先頭へ