ページの先頭です。
ここから本文です。

お知らせ

Express5800シリーズ/iStorage NSシリーズにおける OpenSSLおよびApache Struts1/2の脆弱性への影響について

最新更新日:2014年07月23日
新規掲載日:2014年05月09日

日頃は、ビジネス向けExpress5800シリーズ/iStorage NSシリーズ製品をご愛用いただき、誠にありがとうございます。

IPA(独立行政法人 情報処理推進機構)などでも情報が展開されております、OpenSSLの脆弱性(CVE-2014-0160)、Apache Struts1/2の脆弱性(CVE-2014-0094 / CVE-2014-0112 / CVE-2014-0113 / CVE-2014-114 / CVE-2014-116)、「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性 (CVE-2014-0224)に関しまして、Express5800シリーズ および iStorage NSシリーズにおける影響ならびに対策についてご案内します。

脆弱性の内容について

  1. OpenSSLの脆弱性(CVE-2014-0160)

    本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。
    対象バージョン: OpenSSL 1.0.1 から 1.0.1f
    OpenSSL 1.0.2-beta から 1.0.2-beta1
  2. Apache Struts1/2の脆弱性(CVE-2014-0094 / CVE-2014-0112 / CVE-2014-0113 / CVE-2014-114 / CVE-2014-116)

    Webアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびWebアプリケーションを一時的に使用不可にされてしまいます。さらに、攻撃者が操作したファイルに Java コードが含まれている場合、任意のコードが実行される可能性があります。
    対象バージョン: Apache Struts 2.0.0 から 2.3.16.1
    Apache Struts 1 系
  3. 「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性 (CVE-2014-0224)

    暗号通信の内容が漏えいしたり、改ざんされたりする可能性があります。
    対象バージョン: サーバ側とクライアント側のOpenSSLのバージョンが以下の組み合わせの場合に影響を受けることが確認されています。
    サーバ側: OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前
    クライアント側: OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前
    OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前
    OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以

Express5800シリーズ/iStorage NSシリーズにおける影響について

本体装置およびオプション装置に添付しているアプリケーションに関しまして、これらの脆弱性による影響についてご案内します。

  1. OpenSSLの脆弱性(CVE-2014-0160)による影響

    装置に添付されているアプリケーションを含め、本体装置およびオプション装置ともに本脆弱性による影響はありません。
  2. Apache Struts1/2の脆弱性(CVE-2014-0094 / CVE-2014-0112 / CVE-2014-0113 / CVE-2014-114 / CVE-2014-116)による影響

    以下のアプリケーションが本脆弱性の影響を受ける可能性があります。これら以外の装置添付アプリケーション、および装置自身は、本脆弱性による影響はありません。

    • ESMPRO/ServerManager
      対象Ver.:Ver.5以降の全バージョン
      対象製品:Experss5800シリーズ/iStorage NSシリーズ全般
      対処方法:NECサポートポータルを参照ください。
      https://www.support.nec.co.jp/View.aspx?id=3010100849
    • Webフィルタリングソフト(InterSafe WebFilter)
      対象Ver.:全バージョン
      対象製品:Express5800/CS, InterSecVM/CS,InterSec/CS400i
      対処方法:NECサポートポータルを参照ください。
      http://www.support.nec.co.jp/View.aspx?id=3150107325
    • DianaScope Manager
      対象Ver.:全バージョン
      対象製品:Experss5800シリーズ/iStorage NSシリーズ全般
      対処方法:未定[*]。
      [*]:対応方針も含めて現在調整中です。現状は装置へのアクセス制限による回避など、運用面での対処をお願いします。
  3. 「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性 (CVE-2014-0224)による影響

    以下のアプリケーションが本脆弱性の影響を受ける可能性があります。

    • ESMPRO/ServerManager
      対象Ver.:Ver.5.5以降の全バージョン
      対象製品:Experss5800シリーズ/iStorage NSシリーズ全般
      対処方法:管理対象がExpress5800/50シリーズで、かつ、マネジメントコントローラ管理機能の vPro管理を利用している場合に影響を受けることが考えられます。本件について現在アップデート予定は未定となっており、Express5800/50シリーズに対して vPro管理機能を利用しないことで回避ください。
    • ESMPRO/ServerAgent Linux版
      対象Ver.:全バージョン
      対象製品:Experss5800シリーズ全般
      対処方法:Linux環境においてエクスプレス通報サービス(https)をご利用いただく場合に、OSのlibcurlパッケージを使用しており、ご使用いただいているOSによっては影響を受けることが考えられます。エクスプレス通報サービス(https)を利用しないか、OSのlibcurlパッケージのバージョンアップを実施してから利用ください。
    • InterSec シリーズ
      対象Ver.:全バージョン
      対象製品:Express5800/CS, InterSec/CS, InterSecVM/CS
      Express5800/LB, InterSec/LB, InterSecVM/LB, InterSecVM/LBc
      Express5800/MW, InterSec/MW, InterSecVM/MW
      対処方法:NECサポートポータルを参照ください。
      http://www.support.nec.co.jp/View.aspx?id=3010100900
      オプションのソフトウェア製品についてはNECサポートポータルにてご確認をお願いします。
      NECサポートポータルについては、このあとの「■ 関連情報」を参照ください。

製品名カテゴリ

Express5800シリーズ タワーサーバ
Express5800シリーズ ラックサーバ
Express5800/ECO CENTER
Express5800/SIGMABLADE
Express5800/ftサーバ
Express5800/InterSec
iStorage NSシリーズ
Express5800 ワークステーション
Express5800シリーズ Gモデル

関連情報

  • コンテンツID: 3010102089
  • 公開日: 2019年01月18日
  • 最終更新日:2019年01月18日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。