CVE-2014-3566(JVNVU#98283300、TA14-290A)

「SSLv3 プロトコルに暗号化データを解読される脆弱性（POODLE攻撃）」への富士通製品の対応について

平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。

SSLv3 プロトコルに暗号化データを解読される脆弱性が存在します。
SSLv3 をサポートするプログラムは、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能性があります。

掲記脆弱性に関しまして、お問い合わせの多い製品の影響情報を順次ご案内いたします。
一覧に無いその他の製品につきましても、各製品のページで順次ご案内していきます。

一般的な回避方法

可能な場合は、各製品の設定でSSLv3を無効にしてください。

影響

◇ ソフトウェア製品
ブランド	製品	影響	備考
Interstage	Interstage Application Server	有り	SSLによる暗号化通信を使用する設定を行っている場合は、SSL 3.0プロトコルを使用して通信する可能性があります。マニュアルにしたがって、SSL 3.0を無効にし、他のプロトコルバージョンを指定してください。
Oracle Solaris		有り	詳細は、以下のOracle社の公開情報（英語サイト）をご確認ください。・SSL V3.0 "Poodle" Vulnerability - CVE-2014-3566 http://www.oracle.com/technetwork/topics/security/poodlecve-2014-3566-2339408.html
Red Hat Enterprise Linux		有り	詳細は、以下のRedHat社の公開情報（英語サイト）をご確認ください。 https://access.redhat.com/security/cve/CVE-2014-3566 https://access.redhat.com/articles/1232123
Windows OS		有り	詳細は、以下のマイクロソフト社の公開情報をご確認ください。マイクロソフトセキュリティアドバイザリ 3009008 SSL 3.0 の脆弱性により、情報漏えいが起こる https://technet.microsoft.com/ja-jp/library/security/3009008.aspx

※その他の製品の影響については、各製品ホームページ等をご確認ください。

◇ ネットワーク製品
ブランド	製品	影響	備考
IPCOM		有り	詳細は、以下の製品サイトをご覧ください。「SSL3.0の脆弱性(CVE-2014-3566)に対するIPCOM製品への影響について」

◇ ハードウェア添付のソフトウェア
ブランド	製品	影響	備考
ServerView	ServerView Operations Manager for Windows （OMとRemoteConnector）	有り	詳細は、以下の製品サイトをご覧ください。 PRIMERGY関連製品「SSLv3脆弱性問題（POODLE攻撃）の影響と対応について（お知らせ）」 PRIMEQUEST関連製品「SSL v3脆弱性問題（POODLE攻撃）の影響について」
	ServerView Operations Manager for Linux （OMとRemoteConnector）
	ServerView Storage Manager for Windows
	ServerView Storage Manager for Linux
	ServerView RAID Manager for Windows
	ServerView RAID Manager for Linux

◇ ハードウェア製品
ブランド	製品	影響	備考
SPARC M10	XCPファームウェア	有り	本製品のXCP2232版以前をご利用の場合、かつ、以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。 SSHクライアントからXSCFに接続しSCFシェルを利用している場合。 XSCF Webをブラウザから接続し利用している場合。 XSCFの設定情報やログ情報を通信するコマンドを利用している場合、かつ、その通信にSCPのプロトコルを使用している場合。 setldap(8)コマンドでLDAP認証を有効にしている場合、かつ、setldap -cを使用し、CA証明書を設定している場合。 setldapssl(8)コマンドでLDAP認証を有効にしている場合。 REMCS通報機能を使用し、メールの暗号タイプに「S/MIME」を使用している場合。暫定回避として、各通信相手側でSSLv3を使用しないように設定してください。正式回避としては、SSLv3を無効化したXCP2240版以降へファームウェア・アップデートをお願い致します。
SPARC Enterprise Mシリーズ	XCPファームウェア	有り	本製品のXCP1118版以前をご利用の場合、かつ、以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。 SSHクライアントからXSCFに接続しSCFシェルを利用している場合。 XSCF Webをブラウザから接続し利用している場合。 XSCFの設定情報やログ情報を通信するコマンドを利用している場合、かつ、その通信にSCPのプロトコルを使用している場合。 setldap(8)コマンドでLDAP認証を有効にしている場合、かつ、setldap -cを使用し、CA証明書を設定している場合。 setldapssl(8)コマンドでLDAP認証を有効にしている場合。暫定回避として、各通信相手側でSSLv3を使用しないように設定してください。正式回避としては、SSLv3を無効化したXCP1119版以降へファームウェア・アップデートをお願い致します。

問い合わせ先

各製品の修正情報などの入手は、FUJITSU Managed Infrastructure Service SupportDesk の契約が必要です。
各製品についてのお問い合わせは、お客様専用ホームページ［SupportDesk-Web］からお願いします。

参考情報

更新履歴

2015年2月5日：
- ハードウェア製品「SPARC M10」、「SPARC Enterprise Mシリーズ」の備考に対応ファームウェア情報を追加

2015年1月22日：
- ハードウェア添付のソフトウェア「ServerView」の備考に製品情報を追加

2014年11月11日：
- ハードウェア製品「SPARC M10 XCPファームウェア」、「SPARC Enterprise XCPファームウェア」の情報を追加
2014年11月6日：ネットワーク製品「IPCOM」の影響を更新、備考に製品情報を追加
2014年10月21日：新規掲載