最新更新日:2014年07月23日新規掲載日:2014年05月09日
日頃は、ビジネス向けExpress5800シリーズ/iStorage NSシリーズ製品をご愛用いただき、誠にありがとうございます。
IPA(独立行政法人 情報処理推進機構)などでも情報が展開されております、OpenSSLの脆弱性(CVE-2014-0160)、Apache Struts1/2の脆弱性(CVE-2014-0094 / CVE-2014-0112 / CVE-2014-0113 / CVE-2014-114 / CVE-2014-116)、「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性 (CVE-2014-0224)に関しまして、Express5800シリーズ および iStorage NSシリーズにおける影響ならびに対策についてご案内します。
脆弱性の内容について
- OpenSSLの脆弱性(CVE-2014-0160)
本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。
対象バージョン | : |
OpenSSL 1.0.1 から 1.0.1fOpenSSL 1.0.2-beta から 1.0.2-beta1 |
- Apache Struts1/2の脆弱性(CVE-2014-0094 / CVE-2014-0112 / CVE-2014-0113 / CVE-2014-114 / CVE-2014-116)
Webアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびWebアプリケーションを一時的に使用不可にされてしまいます。さらに、攻撃者が操作したファイルに Java コードが含まれている場合、任意のコードが実行される可能性があります。
対象バージョン | : |
Apache Struts 2.0.0 から 2.3.16.1Apache Struts 1 系 |
- 「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性 (CVE-2014-0224)
暗号通信の内容が漏えいしたり、改ざんされたりする可能性があります。
対象バージョン | : |
サーバ側とクライアント側のOpenSSLのバージョンが以下の組み合わせの場合に影響を受けることが確認されています。
サーバ側 | : |
OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前 |
クライアント側 | : |
OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前
OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前
OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以 |
|
Express5800シリーズ/iStorage NSシリーズにおける影響について
本体装置およびオプション装置に添付しているアプリケーションに関しまして、これらの脆弱性による影響についてご案内します。
- OpenSSLの脆弱性(CVE-2014-0160)による影響
装置に添付されているアプリケーションを含め、本体装置およびオプション装置ともに本脆弱性による影響はありません。
- Apache Struts1/2の脆弱性(CVE-2014-0094 / CVE-2014-0112 / CVE-2014-0113 / CVE-2014-114 / CVE-2014-116)による影響
以下のアプリケーションが本脆弱性の影響を受ける可能性があります。これら以外の装置添付アプリケーション、および装置自身は、本脆弱性による影響はありません。
- ESMPRO/ServerManager
- Webフィルタリングソフト(InterSafe WebFilter)
- DianaScope Manager
対象Ver. | : | 全バージョン |
対象製品 | : | Experss5800シリーズ/iStorage NSシリーズ全般 |
対処方法 | : | 未定[*]。
[*] | : | 対応方針も含めて現在調整中です。現状は装置へのアクセス制限による回避など、運用面での対処をお願いします。 | |
|
- 「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性 (CVE-2014-0224)による影響
以下のアプリケーションが本脆弱性の影響を受ける可能性があります。
- ESMPRO/ServerManager
対象Ver. | : | Ver.5.5以降の全バージョン |
対象製品 | : | Experss5800シリーズ/iStorage NSシリーズ全般 |
対処方法 | : | 管理対象がExpress5800/50シリーズで、かつ、マネジメントコントローラ管理機能の vPro管理を利用している場合に影響を受けることが考えられます。本件について現在アップデート予定は未定となっており、Express5800/50シリーズに対して vPro管理機能を利用しないことで回避ください。 |
- ESMPRO/ServerAgent Linux版
対象Ver. | : | 全バージョン |
対象製品 | : | Experss5800シリーズ全般 |
対処方法 | : | Linux環境においてエクスプレス通報サービス(https)をご利用いただく場合に、OSのlibcurlパッケージを使用しており、ご使用いただいているOSによっては影響を受けることが考えられます。エクスプレス通報サービス(https)を利用しないか、OSのlibcurlパッケージのバージョンアップを実施してから利用ください。 |
- InterSec シリーズ
※ | オプションのソフトウェア製品についてはNECサポートポータルにてご確認をお願いします。NECサポートポータルについては、このあとの「■ 関連情報」を参照ください。 |