2014/12/18 更新

１．脆弱性の概要

JP1/Integrated Management - ManagerでIM構成管理を使用して仮想化構成を取得する場合に、SSL 3.0の脆弱性(CVE-2014-3566)が存在します。


２．脆弱性の内容

JP1/Integrated Management - Managerに次の脆弱性が存在します。

SSL 3.0で使用されるCBC暗号アルゴリズムに問題があり、この問題を悪用した中間者攻撃により情報が漏洩する可能性があります。

1. 通信を信頼できるIPアドレスだけに限定するよう、OSのIPフィルタリング機能またはルータなどにてフィルタリング設定を実施する。
2. 仮想化構成を取得する際にHTTPSを指定しないようにする。次の対応をしてください。
1. JP1/IM - Viewの［仮想化管理設定］画面で「仮想化管理種別」が「vCenter」の場合に「通信種別」を「HTTP」にする。
   詳細は、マニュアル「JP1/Integrated Management - Manager 画面リファレンス」の「4.3［仮想化管理設定］画面」を参照してください。
2. jcfcolvmesxコマンドの-mオプションで指定する「通信種別」を「http」にする。
   詳細は、マニュアル「JP1/Integrated Management - Manager コマンド・定義ファイルリファレンス」の「jcfcolvmesx」を参照してください。
3. jcfcolvmvcコマンドの-mオプションで指定する「通信種別」を「http」にする。
   詳細は、マニュアル「JP1/Integrated Management - Manager コマンド・定義ファイルリファレンス」の「jcfcolvmvc」を参照してください。
3. 仮想化構成を取得しない。次のどちらかで対応してください。
1. 手動にて仮想ホストを登録する。
   詳細は、マニュアル「JP1/Integrated Management - Manager 構築ガイド」の「3.1.1 ホストを登録する」を参照してください。
2. JP1/IM - Viewにて[ホスト登録]画面で「仮想化管理種別」に「vCenter」を選択しない。
   詳細は、マニュアル「JP1/Integrated Management - Manager 画面リファレンス」の「4.2 ［ホスト登録］画面」を参照してください。