FAQを参照する
[セキュリティ情報] PowerChute Business Edition Logjam脆弱性の影響について (2015年10月公開)
このページでは、PowerChute Business EditionのLogjam脆弱性 (CVE-2015-4000) の影響について説明しています。
2015年5月、HTTPSなどのプロトコルの暗号強度を弱める可能性がある ディフィー・ヘルマン(Diffie-Hellman)鍵交換の脆弱性が発表されました。
この脆弱性はTLS接続 (バージョン1.2およびそれ以前) に関連します。この脆弱性はLogjam攻撃と呼ばれています(CVE-2015-4000)。
このページでは、本脆弱性のPowerChute Business Editionへの影響について説明します。
・サポート終了バージョンのため、本コンテンツの更新は終了いたしました。
提供終了ツールなどへのリンク切れなどがございますが、公開時のまま掲載しております。
【対象製品】
PowerChute Business Edition v8.0.1 および それ以前のバージョン
【OS】
Linux, Oracle Solaris, Windows x64, x86
【問題の概要】
1. TLSプロトコルに対するLogjam攻撃: TLSプロトコル1.2およびそれ以前のバージョンにおいて、
サーバ上でDHE_EXPORT暗号化スイートが有効化されているがクライアントでは有効化されていない場合、
DHE_EXPORT が選択されたことをクライアントに適切に通知しません。
そのため、中間者攻撃によりClientHelloのDHEをDHE_EXPORTによって書き換え、
その後ServerHelloのDHE_EXPORTをDHEによって書き換えられることで、暗号化のダウングレード攻撃を実行される可能性があります。
2. ディフィー・ヘルマン鍵交換では、DH鍵交換に利用する素数が1024ビット以下の場合鍵が解読される危険性があります。
【PowerChute Business Editionに対する影響について】
・PowerChute Business Editionサーバーとエージェントは本脆弱性の影響を受けます。
・PowerChute Business Editionサーバーとエージェントが異なるコンピューターにインストールされている場合、信頼できるコンピュータ以外のTCPポート2260と2160へのアクセスをブロックしてください。
・PowerChute Business Editionサーバーとエージェントが両方とも同じマシンで稼働している場合は、以下の回避方法を実施してください。
PowerChute Business Edition v8.0.1およびそれ以前のバージョンを使用している場合は、
バージョンv9.0.1以降へのアップグレードを行ってください。
【回避方法】
2. 以下のコマンドを実行し、PowerChute Business Edition Agent のサービス/デーモンを停止してください。
Windows PowerShell互換マシン用 (Windows_Update_PCBEAgent.ps1)
Windows PowerShell非互換マシン用 (Windows_Update_PCBEAgent.vbs)
[Windows_Update_PCBEAgent.ZIP] Linuxマシン用 (Update_PCBEAgent.tar)
2015年5月、HTTPSなどのプロトコルの暗号強度を弱める可能性がある ディフィー・ヘルマン(Diffie-Hellman)鍵交換の脆弱性が発表されました。
この脆弱性はTLS接続 (バージョン1.2およびそれ以前) に関連します。この脆弱性はLogjam攻撃と呼ばれています(CVE-2015-4000)。
このページでは、本脆弱性のPowerChute Business Editionへの影響について説明します。
・サポート終了バージョンのため、本コンテンツの更新は終了いたしました。
提供終了ツールなどへのリンク切れなどがございますが、公開時のまま掲載しております。
【対象製品】
PowerChute Business Edition v8.0.1 および それ以前のバージョン
【OS】
Linux, Oracle Solaris, Windows x64, x86
【問題の概要】
1. TLSプロトコルに対するLogjam攻撃: TLSプロトコル1.2およびそれ以前のバージョンにおいて、
サーバ上でDHE_EXPORT暗号化スイートが有効化されているがクライアントでは有効化されていない場合、
DHE_EXPORT が選択されたことをクライアントに適切に通知しません。
そのため、中間者攻撃によりClientHelloのDHEをDHE_EXPORTによって書き換え、
その後ServerHelloのDHE_EXPORTをDHEによって書き換えられることで、暗号化のダウングレード攻撃を実行される可能性があります。
2. ディフィー・ヘルマン鍵交換では、DH鍵交換に利用する素数が1024ビット以下の場合鍵が解読される危険性があります。
a. 512ビット: 個人ユーザレベルの計算能力があれば解読可能
b. 768ビット: .大学・研究所レベルの計算能力があれば解読可能
c. 1024ビット: 政府内利用レベルの計算能力があれば解読可能
b. 768ビット: .大学・研究所レベルの計算能力があれば解読可能
c. 1024ビット: 政府内利用レベルの計算能力があれば解読可能
【PowerChute Business Editionに対する影響について】
・PowerChute Business Editionサーバーとエージェントは本脆弱性の影響を受けます。
・PowerChute Business Editionサーバーとエージェントが異なるコンピューターにインストールされている場合、信頼できるコンピュータ以外のTCPポート2260と2160へのアクセスをブロックしてください。
・PowerChute Business Editionサーバーとエージェントが両方とも同じマシンで稼働している場合は、以下の回避方法を実施してください。
PowerChute Business Edition v8.0.1およびそれ以前のバージョンを使用している場合は、
バージョンv9.0.1以降へのアップグレードを行ってください。
【回避方法】
- PowerChute Business Edition JRE Configuration Toolを使用し、PowerChuteにバンドルされているJava Runtime Environment (JRE)を、
2. 以下のコマンドを実行し、PowerChute Business Edition Agent のサービス/デーモンを停止してください。
Windows:
net stop apcpbeagent
Linux:
/etc/init.d/PBEAgent stop
net stop apcpbeagent
Linux:
/etc/init.d/PBEAgent stop
- 下記スクリプトをダウンロードのうえ実行し、JREシステム・プロパティ“-Djdk.tls.ephemeralDHKeySize=2048”をPowerChute設定に追加してください。
Windows PowerShell互換マシン用 (Windows_Update_PCBEAgent.ps1)
Windows PowerShell非互換マシン用 (Windows_Update_PCBEAgent.vbs)
[Windows_Update_PCBEAgent.ZIP] Linuxマシン用 (Update_PCBEAgent.tar)
ディフィー・ヘルマンの一時的な鍵が1024ビットまたはそれ以下のサイズである場合Logjam攻撃に対して影響を受けます。
このような攻撃に対しては、2048ビット以上の鍵サイズが有効と考えられています。
Windows:
PowerShell 互換のマシンでは、Update _PCBEAgent.ps1 を実行してください。
PowerShell に互換ではないマシンでは、Run Update _PCBEAgent.vbs を実行してください。
Linux:
Update_PCBEAgent.tar をお使いのマシンのディレクトリにダウンロードしてください。
Update_PCBEAgent.sh ファイルを解凍し、実行してください。
このような攻撃に対しては、2048ビット以上の鍵サイズが有効と考えられています。
Windows:
PowerShell 互換のマシンでは、Update _PCBEAgent.ps1 を実行してください。
PowerShell に互換ではないマシンでは、Run Update _PCBEAgent.vbs を実行してください。
Linux:
Update_PCBEAgent.tar をお使いのマシンのディレクトリにダウンロードしてください。
Update_PCBEAgent.sh ファイルを解凍し、実行してください。
- 以下のコマンドを実行し、PowerChute Business Edition Agent のサービス/デーモンを起動してください。
Windows:
net start apcpbeagent
Linux:
/etc/init.d/PBEAgent start
net start apcpbeagent
Linux:
/etc/init.d/PBEAgent start
公開先:APC 日本
詳細を見る
詳細を見る
