 |
≫ |
|
|
|
SUPPORT COMMUNICATION - SECURITY BULLETIN
Document ID: c00967144
Version: 2
HPSBTU02207 SSRT061239 rev.2 - HP Tru64 UNIX SSLおよびBIND、リモートでの任意コードの実行またはサービス拒否(DoS)
注意: このセキュリティ報告情報に従って、できるだけ速やかに処置してください。
リリース日: 2007年6月21日
最終更新日: 2007年6月21日
潜在的セキュリティ被害: リモートでの未許可任意コードの実行またはサービス拒否
(DoS)
発信元: HEWLETT-PACKARD COMPANY, HP Software Security Response Team
脆弱性の概要:
HP Tru64 UNIXオペレーティングシステム上で実行するSecure Sockets Layer(SSL)およ
びBINDに、潜在的なセキュリティの脆弱性があることが判明しました。リモートの攻撃
者がこれらの脆弱性を利用して任意のコードを実行したりサービス拒否(DoS)を引き起
こしたりする可能性があります。
リファレンス:
VU#547300、VU#386964、CAN-2006-4339、CVE-2006-2937、CVE-2006-2940、
CVE-2006-3738(OpenSSL)
VU#697164、VU#915404、CVE-2007-0493、CVE-2007-0494、SSRT061213、SSRT071304
(BIND)
サポート対象ソフトウェアバージョン*: 影響のあるバージョンのみ表示。
影響のあるサポート対象ソフトウェアバージョンは、以下のとおりです。
・HP Tru64 UNIX v 5.1B-4 (OpenSSLおよびBIND)
・HP Tru64 UNIX v 5.1B-3 (OpenSSLおよびBIND)
・HP Tru64 UNIX v 5.1A PK6 (BIND)
・HP Tru64 UNIX v 4.0G PK4 (BIND)
・HP Tru64 UNIX v 4.0F PK8 (BIND)
・Internet Express (IX) v 6.6 BIND (BIND)
・HP Insight Management Agents for Tru64 UNIXパッチv 3.5.2以前 (OpenSSL)
背景:
このセキュリティ報告のPGP署名付きバージョンが必要な方は、security-alert@hp.com
宛てのメールでお申し込みください。
解決策:
メインストリームリリースパッチキット内のアップデートが使用可能になるまで、当社
は一般のお客様向けに以下のEarly Release Patch(ERP)キットをリリースしています。
ERPキットは、dupatchを使ってインストールします。したがって、ERPとファイルを共
有するいずれのCustomer Specific Patch(CSP)も、ERPキットによって上書きされるこ
とはありません。もし、ERPのインストールが、お客様のインストール済みCSPによって
ブロックされる場合は、お客様担当のサービスプロバイダに支援を要請してください。
以下のERPキット内に含まれている修正コードは、最終的に次のメインストリームパッ
チキットに組み込まれます。
HP Tru64 UNIX v 5.1B-5
Internet Express (IX) v 6.7
HP Insight Management Agents for Tru64 UNIX パッチv 3.6.1 (すでに使用可能)
●HP Tru64 UNIXバージョン5.1B-4
前提依存関係: HP Tru64 UNIX v 5.1B-4 PK6 (BL27)
名称: T64KIT1001167-V51BB27-ES-20070321
場所: http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT1001227-V51BB27-ES-20070531
●HP Tru64 UNIXバージョン5.1B-3
前提依存関係: HP Tru64 UNIX v 5.1B-3 PK5 (BL26)
名称: T64KIT1001163-V51BB26-ES-20070315
場所: http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT1001163-V51BB26-ES-20070315
●HP Tru64 UNIXバージョン5.1A PK6
前提依存関係: HP Tru64 UNIX v 5.1A PK6 (BL24)
名称: T64KIT1001160-V51AB24-ES-20070314
場所: http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT1001160-V51AB24-ES-20070314
●HP Tru64 UNIXバージョン4.0G PK4
前提依存関係: HP Tru64 UNIX v 4.0G PK4 (BL22)
名称: T64KIT1001166-V40GB22-ES-20070316
場所: http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT1001166-V40GB22-ES-20070316
●HP Tru64 UNIXバージョン4.0F PK8
前提依存関係: HP Tru64 UNIX v 4.0F PK8 (BL22)
名称: DUXKIT1001165-V40FB22-ES-20070316
場所: http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=DUXKIT1001165-V40FB22-ES-20070316
●HP Insight Management Agents for Tru64 UNIXパッチバージョン3.6.1(キット
CPQIIM360)
前提依存関係: HP Tru64 UNIX v 5.1B-4 PK6 (BL27)、v 5.1A PK6 (BL24)、v 4.0G PK4
(BL22)またはv 4.0F PK8 (BL22)
名称: CPQIM360.SSL.01.tar.gz
場所: http://h30097.www3.hp.com/cma/patches.html
●Internet Express (IX) v 6.6 BIND
注記: Internet Express (IX) v 6.6 BINDをお使いのお客様は、お客様のベースオペレ
ーティングシステムバージョンに合ったERPキットからBIND 9.2.8パッチをインストー
ルする必要があります。
製品固有の情報:
HP Tru64 UNIX v 5.1B-3/v 5.1B-4 ERPキットには、次の2種類のパッチが含まれていま
す。
OpenSSL 0.9.8d
OpenSSL 0.9.8d付きで作成されたBIND 9.2.8
注記: HP Tru64 UNIX v 5.1A/v 4.0G/v 4.0FリリースにはOpenSSLが含まれていないの
で、これらのERPキットでは、OpenSSL 0.9.8d付きで作成されたBIND 9.2.8パッチだけ
を提供しています。
HP Tru64 UNIX v 5.1B-3およびv 5.1B-4上でOpenSSLをお使いになっているお客様は、
お客様のベースオペレーティングシステムバージョンに合ったERPキットからOpenSSLパ
ッチをインストールする必要があります。
HP Insight Management Agents for Tru64 UNIXパッチはOpenSSL 0.9.8dを含んでいる
ので、HP Tru64 UNIX v 5.1A、v 5.1B-3およびv 5.1B-4に適用できます。
更新履歴:
Version:1 (rev.1) - 2007年4月12日 初版
Version:2 (rev.2) - 2007年6月21日 アップデート済みのHP Tru64 UNIX v 5.1B-4
(BL27)用Early Release Patch(ERP)キットの場所
を記載。このアップデート済みERPは、一部のお
客様から報告されたキットのインストール問題を
解決します。このセキュリティ報告にリストされ
ているその他のバージョン用キットは未変更のま
まです。
サードパーティセキュリティパッチ:
HPソフトウェア製品を実行するシステムにサードパーティセキュリティパッチをインス
トールするかどうかは、お客様のパッチ管理方針によります。
サポート: さらなる情報については、HPサービスサポートチャネルへお問い合わせください。
レポート: HPサポート対象製品に関する潜在的なセキュリティ脆弱性をレポートするには、
security-alert@hp.comへemailをお送りください。HPに送信するセキュリティ関連情報
(特に脆弱性情報)はPGPを使って暗号化されることを強く推奨します。
セキュリティ警告PGPキーを取得するには、emailの件名を「get key」にして
security-alert@hp.comへお送りください
購読: HP Security Bulletinsをemailにて定期受信を開始するには、以下
へアクセスします。
http://h30046.www3.hp.com/driverAlertProfile.php?regioncode=NA
&langcode=USENG&jumpid=in_SC-GEN__driverITRC&topiccode=ITRC
webページ: ITRC security bulletins and patch sign-up
Step1: your IRTC security bulletins and patchesの下で、
- 警告が必要とされるすべてのカテゴリをチェックし、続行します。
Step2: your IRTC operating systemsの下で、
- オペレテーィングシステムの選択がチェックがされているかチェックし、保存します。
既存の受信内容を更新するには以下で行います。
http://h30046.www3.hp.com/subSignIn.php
Subscriber's choice for Business: sign-inページでログインします。
Subscriber's Choice: your profile summaryページのEdit Profileから
該当するセクションを更新します。
発行済みSecurity Bulletinsを参照するには、
http://itrc.hp.com/cki/bin/doc.pl/screen=ckiSecurityBulletinへアクセスしてください。
* 本報告が関係するソフトウェア製品カテゴリは、Bulletin番号の5番目と
6番目の文字により示されます。
GN=General、MA=Management Agents、MI=Misc. 3rd party、MP=HP-MPE/iX、
NS=HP NonStop OV=HP OpenVMS、PI=HP Printing & Imaging、ST=HP Storage、
TU=HP Tru64 UNIX、TL=Trusted Linux、UX=HP-UX、VV=Virtual Vault
システム管理およびセキュリティ手順はシステムの整合性を維持するために
時々見直す必要があります。HPは頻繁にソフトウェア製品のセキュリティ機
能のレビュー・拡張を行い、お客様へ最新のセキュリティソリューションを
提供していきます。
「HPは、この報告に含まれている重要なセキュリティ情報の影響を受ける
HP製品ユーザの注意を促すために、このSecurity Bulletinを広く配布して
います。HPはすべてのユーザがこの情報をユーザ個別の状況に適用するこ
とを決定し、適切なアクションをとることをお勧めします。HPはこの情報が
必ずしもすべてのユーザ状況において正確または完全であるということを保
証するわけではありません。よって、HPはこの報告で提供されている情報の
ユーザによる使用または無視から生じるダメージに関して責任を負いません。
法で許可されている限度内で、HPは明示的または暗示的に関わらず商品能力
および特定目的、所有権、および非侵害の適合に関する保証を含む、すべて
の保証責任を放棄します。」
------------------------------------------------------------------
(c) Copyright 2007 Hewlett-Packard Development Company, L.P.
Hewlett-Packard Companyは、ここに含まれている技術上または編集上の誤り、
もしくは欠落などの責任は負いません。本ドキュメントの情報は予告
なしに変更されます。Hewlett-Packard Companyおよびここで参照されている
HP製品名称は、Hewlett-Packard Companyの商標/シンボルマークです。ここ
で参照されている他の製品および会社名は、それぞれの所有者の商標/シンボ
ルマークである場合があります。
|
