[Linux]OpenSSLに関して2015/3/19に公開された脆弱性と製品への影響度について

OpenSSLに関する12件の脆弱性が公開されました。この脆弱性において、LifeKeeper製品が影響を受けるのは、

CVE-2015-0204、 CVE-2015-0286、 CVE-2015-0287、 CVE-2015-0293の4件です。

 

  • CVE-2015-0204
    • 影響を受ける環境
      • LifeKeeper for Linux v7.5以降のバージョンを使用している環境
    • 影響範囲
      • lkpolicyにおいて、制限的に影響を受けます。
    • 暫定回避策
      • lkpolicyコマンドの利用を中止してください。

 

  • CVE-2015-0286、 CVE-2015-0287、 CVE-2015-0293
    • 影響を受ける環境
      • LifeKeeper for Linux を使用し、且つ外部に公開している環境
    • 影響範囲
      • ネットワーク経由で攻撃を受ける可能性があります。
    • 暫定回避策
      • 外部からの攻撃を抑止するためにTCPポート778への接続を制限することで回避してください。

 

  • 恒久対策について
    • 2015/6/1にリリースされたLifeKeeper for Linux v8.4.1で修正されております。

 

  • 個々の脆弱性に対しOSのパッチ適用を検討されているお客様へ
    • 今回の脆弱性に関して、CVE-2015-0204はクライアント側の問題となるため、lkpolicyを利用しないことで対処可能であり、CVE-2015-0286、 CVE-2015-0287、 CVE-2015-0293についてはTCPポート778への接続制限で対処可能であるため、製品の観点においてパッチの適用は急務ではなく、影響度は高くありません。従って、個々の脆弱性に対してのパッチ適用に関しては、ご利用頂いている環境の要件に応じてご判断頂ければと存じます。

更新履歴

[公開日:2015年3月20日] [改定日:2015年6月4日] 恒久対策についての文面を更新しました。

return top