OpenSSLに関する12件の脆弱性が公開されました。この脆弱性において、LifeKeeper製品が影響を受けるのは、
CVE-2015-0204、 CVE-2015-0286、 CVE-2015-0287、 CVE-2015-0293の4件です。
- CVE-2015-0204
- 影響を受ける環境
- LifeKeeper for Linux v7.5以降のバージョンを使用している環境
- 影響範囲
- lkpolicyにおいて、制限的に影響を受けます。
- 暫定回避策
- lkpolicyコマンドの利用を中止してください。
- 影響を受ける環境
- CVE-2015-0286、 CVE-2015-0287、 CVE-2015-0293
- 影響を受ける環境
- LifeKeeper for Linux を使用し、且つ外部に公開している環境
- 影響範囲
- ネットワーク経由で攻撃を受ける可能性があります。
- 暫定回避策
- 外部からの攻撃を抑止するためにTCPポート778への接続を制限することで回避してください。
- 影響を受ける環境
- 恒久対策について
- 2015/6/1にリリースされたLifeKeeper for Linux v8.4.1で修正されております。
- 個々の脆弱性に対しOSのパッチ適用を検討されているお客様へ
- 今回の脆弱性に関して、CVE-2015-0204はクライアント側の問題となるため、lkpolicyを利用しないことで対処可能であり、CVE-2015-0286、 CVE-2015-0287、 CVE-2015-0293についてはTCPポート778への接続制限で対処可能であるため、製品の観点においてパッチの適用は急務ではなく、影響度は高くありません。従って、個々の脆弱性に対してのパッチ適用に関しては、ご利用頂いている環境の要件に応じてご判断頂ければと存じます。
更新履歴
[公開日:2015年3月20日] [改定日:2015年6月4日] 恒久対策についての文面を更新しました。