【お詫び】
LifeKeeper for Linux v8.4.0にて実施した本脆弱性への対応内容に不備があることが判明したため、2015年12月14日リリースのv9.0.1にて改修いたしました。また、あわせて下記の影響バージョンへのパッチを提供します。
- 影響バージョン
- LifeKeeper for Linux v7.5からv9.0.0までのバージョン。
※LifeKeeper for Windowsは影響を受けません。
- LifeKeeper for Linux v7.5からv9.0.0までのバージョン。
- 影響箇所
- lkpolicyにおいて、制限的に影響を受けます。
※この脆弱性をつくためには、先にサーバーへの侵入が必要になります。
- lkpolicyにおいて、制限的に影響を受けます。
- 暫定回避策
以下のコマンドを実行する。
# /opt/LifeKeeper/sbin/sv stop /opt/LifeKeeper/etc/service/steeleye-lighttpd
※ LifeKeeper起動時に自動起動するため、都度停止させる必要有。
- 暫定回避策の適用に伴う影響
- Web ブラウザ経由の LifeKeeper GUI が使用できなくなります。(lkGUIapp コマンドから起動する LifeKeeper GUI は使用可能です)
- lkpolicyコマンドが使用できなくなります。(設定済みのポリシーは反映されますが、
設定変更ができなくなります)
※lkpolicyの設定変更にsteeleye-lighttpdを使っているため、steeleye-lighttpdを止めますと設定変更ができなくなります。
- パッチ及び修正が適用される製品提供に向けた対応状況
- LifeKeeper for Linux(v7.5からv9.0.0まで)に対して修正パッチをリリースします。
- 本不具合の修正はLifeKeeper for Linux v9.0.1に含まれています。
- パッチの内容
- steeleye-lighttpdパッケージがSSL v3を使わないように修正
※ 暫定回避策のような制限事項はなし。
- steeleye-lighttpdパッケージがSSL v3を使わないように修正
- パッチの申請方法
- 円滑な製品サポートをご提供するため、パッチのご提供先は弊社にて管理させていただいております。パッチをご希望の際は、以下の情報とともにサポートまで申請をお願いいたします。
- ※パッチ導入に際しての作業ご担当者様の以下の情報
- PSC No.
- 会社名
- 氏名
- メールアドレス
- ご連絡先電話番号
- 導入先エンドユーザ名
- 製品のバージョン
更新履歴
[公開日:2014年11月12日] [改訂日:2015年11月19日]最新の状況に併せて記載内容を調整。
[改訂日:2015年12月14日]最新の状況に併せて記載内容を調整。