Systemwalker Desktop Patrol: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性(CVE-2014-0160) (2014年5月8日)
1. 脆弱性の説明
Systemwalker Desktop Patrolで、スマートデバイス(Android / iOS)を管理するシステム環境において、プロセスのメモリ内容が通信相手に漏えいする可能性があります。
具体的には、SS(Smartdevice Server)を利用した場合が該当します。
本脆弱性問題は、CVE-2014-0160に該当します。
Systemwalker Desktop Patrolについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/systemwalker/products/desktop-patrol/
富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
リモートの攻撃者から細工されたリクエストが送信されることにより、プロセスのメモリ内の情報を閲覧し、秘密鍵などの重要な情報が取得される可能性があります。
結果的に、Systemwalker Desktop Patrolが管理するスマートデバイス(Android / iOS)とSS(Smartdevice Server)間において暗号化した通信の内容が漏えいする可能性があります。
3. 該当システム・対策情報
3-1.該当システム
PRIMERGY
3-2.該当製品・対策Patch
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Systemwalker Desktop Patrol | V15.0.0A/V15.0.1 | Windows Server 2003/ Windows Server 2008/ Windows Server 2012 | - | T009982WP-01 |
注意)修正情報などの入手は、FUJITSU Managed Infrastructure Service SupportDeskの契約が必要です。お問い合わせは SupportDesk からお願いします。
参考: 該当製品の確認方法
製品のバージョンを確認するには、製品に添付されている「ソフトウェア説明書」を参照してください。
3-3. 回避方法
回避方法はありません。
3-2.に示すセキュリティパッチを適用してください。
4. 関連情報
- JVNVU#94401838 OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
http://jvn.jp/vu/JVNVU94401838/index.html
5. 改版履歴
- 2014年5月8日 新規掲載