Systemwalker Desktop Keeper, Systemwalker Desktop Patrol: OpenSSL の Change Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224) (2014年6月30日)
1. 脆弱性の説明
Systemwalker Desktop Keeperで、スマートデバイス(Android / iOS)を管理するシステム環境において、OpenSSL1.0.1に初期SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に脆弱性が存在します。鍵情報の交換の前に Change Cipher Spec メッセージを受け取ると、空の鍵情報を使って暗号化鍵を生成してしまいます。
本脆弱性問題は、CVE-2014-0224に該当します。
- Systemwalker Desktop Keeper
「スマートデバイス中継サーバ」を利用した場合 - Systemwalker Desktop Patrol
SS(Smartdevice Server)を利用した場合
両製品については以下のページを参照してください。
富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
- Systemwalker Desktop Keeperの場合
本製品が管理するスマートデバイス(Android / iOS)とスマートデバイス中継サーバ間において、暗号化した通信の内容が、中間者攻撃 (man-in-the-middle attack) によって解読されたり、改ざんされたりする可能性があります。 - Systemwalker Desktop Patrolの場合
本製品が管理するスマートデバイス(Android / iOS)とSS(Smartdevice Server)間において、暗号化した通信の内容が、中間者攻撃 (man-in-the-middle attack) によって解読されたり、改ざんされたりする可能性があります。
3. 該当システム・対策情報
3-1.該当システム
PRIMERGY
3-2.該当製品・対策Patch
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Systemwalker Desktop Keeper | V15.0.0B/V15.0.1/V15.0.1A/V15.0.1B | Windows Server 2003/ Windows Server 2008/ Windows Server 2012 | - | T009985WP-02 |
Systemwalker Desktop Patrol | V15.0.0A/V15.0.1/V15.0.1A/V15.0.1B | Windows Server 2003/ Windows Server 2008/ Windows Server 2012 | - | T009982WP-02 |
パッチ入手に関しては、当社サポートセンターにお問い合わせください。
参考: 該当製品の確認方法
製品のバージョンを確認するには、製品に添付されている「ソフトウェア説明書」を参照してください。
3-3. 回避方法
回避方法はありません。
3-2.に示すセキュリティパッチを適用してください。
4. 関連情報
- JVN#61247051
OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
http://jvn.jp/jp/JVN61247051/index.html - CVE-2014-0224
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
5. 改版履歴
- 2014年6月30日 新規掲載