2014/12/18 更新

１．脆弱性の概要

JP1/PFM - SRにおいて、SSL 3.0での通信を許容するWebサーバを監視する場合、SSL 3.0の脆弱性(CVE-2014-3566)が存在します。


２．脆弱性の内容

JP1/PFM - SRを用い、(1)IEシナリオの監視または(2)HTTPSの監視(Webトランザクションを用いたHTTPSの監視を含む)で、Webサーバを監視する際、監視対象のWebサーバとの通信でSSL 3.0が使用される場合に、次の脆弱性が存在します。
SSL 3.0で使用されるCBC暗号アルゴリズムに問題があり、この問題を悪用した中間者攻撃により情報が漏洩する可能性があります。

影響を受けるバージョンを「３．対象製品」に示しますので、「４．対応策」の適用をお願いします。


３．対象製品

表１．対象製品一覧

項番	製品名	バージョン
1	JP1/Performance Management - Agent Option for Service Response	Windows   10-50-00   10-00-00 - 10-00-30   09-00-00 - 09-00-13   08-50-00 - 08-50-03 ※1   08-00-00 - 08-00-15 ※1
2	Job Management Partner 1/Performance Management - Agent Option for Service Response	Windows(複数言語版)   10-50-00   10-00-00 - 10-00-24

※1 (1)IEシナリオの監視はサポートしておりません。


４．対応策

(1)IEシナリオの監視
次のどちらかの方法で対応してください。
【監視対象のWebサーバでの対応】
監視対象のWebサーバでSSL3.0を無効にしてください。

【JP1/PFM - SRでの対応】
Microsoft社の公開情報のとおり(※2)、Internet Explorerの設定でSSL 3.0を無効にしてください。
IEシナリオを記録・作成したユーザーでログイン後、「インターネット オプション」ダイアログの「詳細設定」タブを選択し、セキュリティの項目にある「SSL 3.0を使用する」のチェック ボックスをオフにし、代わりに「TLS 1.0 を使用する」、「TLS 1.1 の使用」および「TLS 1.2 の使用」チェック ボックスをオンにしてください。

(※2)マイクロソフト セキュリティ アドバイザリ 3009008
https://technet.microsoft.com/ja-jp/library/security/3009008.aspx
(2014年10月現在のURL情報をご案内しています。)


(2)HTTPSの監視(Webトランザクションを用いたHTTPSの監視を含む)
次のどちらかの方法で対応してください。

【監視対象のWebサーバでの対応】
監視対象のWebサーバでSSL3.0を無効にしてください。

【JP1/PFM - SRでの対応】
対策版を適用してください。


５．対策版の提供

HTTPSの監視(Webトランザクションを用いたHTTPSの監視を含む)につきまして、対策版を適用することで、SSL 3.0が無効となります。

表２．対策製品一覧

項番	製品名	対策バージョン
1	JP1/Performance Management - Agent Option for Service Response	Windows   10-50-01：2014/11/末 発行予定   10-00-xx：2015/01/末 発行予定   09-00-xx：2015/02/末 発行予定
2	Job Management Partner 1/Performance Management - Agent Option for Service Response	Windows(複数言語版)   対策版準備中

６．問い合わせ先

JP1のサポート契約をご確認の上、日立ソリューションサポートセンタ JP1サポート窓口にお問い合わせください。