SECUREMASTER/EnterpriseDirectoryServer(以降EDSと記載します)は、限定的ですが下記に記載する bash の脆弱性の影響を受けます。
・CVE-2014-6271
・CVE-2014-7169
・CVE-2014-7186
・CVE-2014-7187
・CVE-2014-6277
・CVE-2014-6278
対象製品
・EnterpriseDirectoryServer Linux版 (全バージョン)
・EnterpriseDirectoryServer HP-UX版 (全バージョン)
・EnterpriseDirectoryServer Solaris版 (全バージョン)
製品への影響
・LDAPサーバ(edldapd)
当該脆弱性の影響を受けません。
・EDS管理サーバ(edsagent)
攻撃者が、EDS管理サーバを経由してデータをセーブするなどのコマンドを実行する
機能を悪用した場合に当該脆弱性の影響を受けます。ただし、攻撃を行うためには
事前にEDS管理サーバに対してEDS内のldapAdminGroupもしくはldapOperatorGroup
に所属するユーザでの認証に成功している必要があります。
また、HP-UX版及びSolaris版では、OS の /bin/sh を脆弱性のある bash に変更して
いる場合のみ影響を受けます。
・ログサーバ(edlogd)
当該脆弱性の影響を受けません。
・データベースサーバ(odccm, odjournal, odcache, odwrite)
当該脆弱性の影響を受けません。
緩和策
EDS管理サーバ(edsagent)がリスンするTCPポートへのアクセスをファイアウォールなどで制限して下さい。EDS管理サーバがリスンするポート番号は、下記のコマンドの実行結果の右側の値と、その値に1を加えた値です。規定値は 11007,11008 です。
【Linux】
# grep -i ldapEDRemotePort /etc/opt/nec/eds/ldapd.conf
【HP-UX、Solaris】
# grep -i ldapEDRemotePort /etc/ldapd/ldapd.conf
対処方法
OS側より提供されている bash の対策パッチを適用して頂きますようお願いいたします。