CLUSTERPRO:SSL 3.0 の脆弱性(CVE-2014-3566)について、CLUSTERPRO X for Linuxへの影響を教えてください。
質問内容
SSL 3.0 の脆弱性(CVE-2014-3566)について、CLUSTERPRO X for Linuxへの影響を教えてください。
回答内容
CLUSTERPRO X for Linuxでは、下記の機能にてSSL通信を利用しています。
下記の機能を使用しない場合は、本脆弱性の影響はございません。
該当機能における影響については、次のとおりです。
HTTPモニタ
下記の条件のすべてに該当する場合に、本脆弱性の影響を受ける可能性がございます。
-
HTTPモニタの設定(*1)にて、通信プロトコルとして HTTPS を選択している。
-
HTTPモニタの設定(*1)にて、接続先として安全性が保証されないサーバ(*2)を指定している。
-
HTTPモニタの設定(*1)にて、SSL 3.0 を有効としているサーバを指定している。
(*1) |
HTTPモニタの設定項目につきましては、「リファレンスガイド」の「HTTPモニタリソースを理解する」をご参照ください。 |
(*2) |
接続先の既定値はローカルホスト 127.0.0.1 であり、通常は安全であると考えられます。 |
JVMモニタ
下記の条件のすべてに該当する場合に、本脆弱性の影響を受ける可能性がございます。
-
クラスタプロパティ - JVM監視(*3)の設定にて、ロードバランサ連携設定として BIG-IP LTM を選択している。
-
クラスタプロパティ - JVM監視(*3)の ロードバランサ連携設定 にて、mgmt IPアドレスとして安全性が保証されない接続先を指定している。
-
クラスタプロパティ - JVM監視(*3)の ロードバランサ連携設定 にて、mgmt IPアドレスに設定している BIG-IP LTM が SSL 3.0 を使用した通信を有効としている。
(*3) |
JVM監視の設定項目につきましては、「リファレンスガイド」の「Builder の機能」-「クラスタプロパティ」をご参照ください。 |
なお、CLUSTERPROで二重化対象としているアプリケーションや、
監視対象としているアプリケーションにおける影響につきましては、
各アプリケーションのサポート窓口へお問い合わせください。
製品名カテゴリ
補足/関連情報
このFAQの対象製品バージョンは以下のとおりです。
CLUSTERPRO X for Linux
関連情報
-
コンテンツID:
3150108340
-
公開日:
2014年10月28日
-
最終更新日:2023年04月28日
アンケート
サポート情報充実のためアンケートにご協力をお願いいたします。
コメント欄: