・ESMPRO/ServerAgentServiceは、OpenSSLを使用するため、影響があります。
・ESMPRO/ServerAgent Ver.4.4.22-1以降で、エクスプレス通報する場合は、
OpenSSLを使用するため、影響があります。
・ESMPRO/ServerAgent Ver.4.4.22-1以降で、エクスプレス通報しない場合、
OpenSSLを使用しないため、影響はありません。
・ESMPRO/ServerAgent Ver.4.4.22-1未満の場合は、OpenSSLを使用しないため、
影響はありません。
|
RHEL8 |
RHEL7 |
RHEL6 |
ESMPRO/ServerAgentService(全バージョン) |
影響あり |
影響あり |
影響あり |
ESMPRO/ServerAgent (Ver.4.4.22-1以降でエクスプレス通報を使用) |
影響あり |
影響あり |
影響あり |
ESMPRO/ServerAgent (Ver.4.4.22-1以降でエクスプレス通報は未使用) |
影響なし |
影響なし |
影響なし |
ESMPRO/ServerAgent(Ver.4.4.22-1未満) |
影響なし |
影響なし |
影響なし |
■ESMPRO/ServerAgentService, ESMPRO/ServerAgentの
インストール状態を確認する方法と、バージョンを確認する方法
1)rootユーザーでログインします。
2)インストールされているパッケージを確認します。
# rpm -qa | grep Esmpro
Esmpro-Providerがインストールされている場合、
ESMPRO/ServerAgentServiceがインストールされています。
Esmpro-commonがインストールされている場合、
ESMPRO/ServerAgentがインストールされています。
また、バージョンは、パッケージ名に続く数字から確認できます。
例)出力結果が以下の場合は、ESMPRO/ServerAgent Ver.4.4.22-1が
インストールされています。
Esmpro-common-4.4.22-1
■エクスプレス通報を使用しているかどうか確認する方法
1)rootユーザーでログインします。
2)コントロールパネル(/opt/nec/esmpro_sa/bin/ESMamsadm)を起動します。
# cd /opt/nec/esmpro_sa/bin
# ./ESMamsadm
3)[通報設定]画面が表示されます。[通報基本設定]を選択します。
4)[通報基本設定]画面が表示されます。
[エクスプレス通報設定]が表示される場合、
エクスプレス通報を使用します。
[エクスプレス通報設定]が表示されない場合、
エクスプレス通報を使用しません。
対処
影響がある環境の場合は、本脆弱性を利用した攻撃が行われる可能性があります。
Red Hat社から修正パッケージが公開されておりますので、
対処としてバージョンアップを実施してください。
https://access.redhat.com/security/cve/cve-2022-0778
OpenSSLとの関係
ESMPRO/ServerAgentService
・ESMPRO/ServerAgentServiceは以下の場合にOpenSSLを使用します。
- インストール時に、WS-Man通信を行うために必要な
自己署名証明書を作成するために、OpenSSLを使用します。
- エクスプレス通報(HTTPS経由)を使用する場合、
libcurlパッケージを使用します。
libcurlがOpenSSLを使用します。
- エクスプレス通報(インターネットメール経由, ダイヤルアップ経由)を使用し、
かつ、S/MIMEを有効にする場合、
OpenSSL(openssl-develのlibcrypto.so)を使用します。
ESMPRO/ServerAgent
・ESMPRO/ServerAgent Ver.4.4.22-1以降で、エクスプレス通報する場合は、
OpenSSLを使用します。
- エクスプレス通報(HTTPS経由)を使用する場合、
libcurlパッケージを使用します。
libcurlがOpenSSLを使用します。
- エクスプレス通報(インターネットメール経由, ダイヤルアップ経由)を使用し、
かつ、S/MIMEを有効にする場合、
OpenSSL(openssl-develのlibcrypto.so)を使用します。
・ESMPRO/ServerAgent Ver.4.4.22-1以降で、エクスプレス通報しない場合は、
OpenSSLは使用しません。
・ESMPRO/ServerAgent Ver.4.4.22-1未満の場合は、
OpenSSLは使用しません。