【Windows版】
ESMPRO/ServerAgentはSSLを利用していないため、影響はありません。
エクスプレス通報サービス(HTTPS)は、
SSL/TLSを利用しているため、システムの設定によって
脆弱性の影響を受けることがあります。
<対処>
管理ツールを動作させるクライアント側でSSL3.0を無効化することで対処(回避)いただくか、
ファイアウォール等によるネットワーク側での対策をご検討くださいますようお願いいたします。
【クライアント側でSSL3.0を無効化する方法】
ご使用のブラウザおよびJavaでSSL3.0が有効な場合はSSL3.0を無効化し、
TLS1.0以降のプロトコルを有効にしてください。
手順の詳細は、以下の回避手順書をご覧ください。
・SSL3.0脆弱性問題回避設定手順書
(EXPRESSSCOPEエンジンシリーズの回避手順は、こちら をご覧ください。)
■ Express5800シリーズ/iStorage NSシリーズにおけるSSL 3.0の脆弱性(CVE-2014-3566)への対応について
【Linux版】
・CVE-2014-3512, 3566
脆弱性の対象となるような方法では使用していないため、影響はありません。
・CVE-2014-3507, 3505
エクスプレス通報サービスの通報手段にHTTPS/HTTPS(マネージャ経由)設定している場合、
OpenSSLパッケージのバージョンによって、影響(通報内容の搾取や改ざん)があります。
その他のエクスプレス通報手段には影響はありません。
<詳細>
エクスプレス通報サービスの通報手段にHTTPS/HTTPS(マネージャ経由)設定している場合、
OSにインストールされているlibcurlパッケージを使用して、機能を実現しています。
libcurlパッケージはOpenSSLパッケージに基づいているため、OpenSSLパッケージの
バージョンによっては影響があります。
#エクスプレス通報サービスの通報手段 HTTPS/HTTPS(マネージャ経由)を
#サポートしているバージョンは、4.4.22-1以降となります。
<対処>
以下のどちらかにより、対処可能です。
1)脆弱性が解決されたOpenSSLパッケージへバージョンアップする。
詳細は下記コンテンツをご参照ください。
[RHEL] SSLv3.0 プロトコル仕様のやや深刻な脆弱性について
https://www.support.nec.co.jp/View.aspx?id=3010101163
※コンテンツの閲覧には、Linuxサービスセットのご契約が必要です。
2)エクスプレス通報サービスHTTPS/HTTPS(マネージャ経由)以外の
通報手段を利用する。
■更新履歴
2019/02/28 関連情報 のリンク先URLを最新化しました
2014/11/18 Windows版 エクスプレス通報サービス(HTTPS)について、追記。
Linux版 エクスプレス通報サービス(HTTPS/HTTPS(マネージャ経由))を
サポートするバージョンについての情報を記載。
2014/11/04 新規公開