テクニカルFAQ

質問

[セキュリティ情報] PowerChute Business EditionにおけるLogjam脆弱性の影響について

このページでは、PowerChute Business EditionのLogjam脆弱性 (CVE-2015-4000) の影響について説明しています。

2015年5月、HTTPSなどのプロトコルの暗号強度を弱める可能性がある、ディフィー・ヘルマン(Diffie-Hellman)鍵交換の脆弱性が発表されました。この脆弱性はTLS接続 (バージョン1.2およびそれ以前) に関連します。この脆弱性はLogjam攻撃と呼ばれています(CVE-2015-4000)。
このページでは、本脆弱性のPowerChute Business Editionへの影響について説明します。

【対象製品】
PowerChute Business Edition

【OS】
Linux, Oracle Solaris, Windows x64, x86

【問題の概要】
1.    TLSプロトコルに対するLogjam攻撃: TLSプロトコル1.2およびそれ以前のバージョンにおいて、サーバ上でDHE_EXPORT暗号化スイートが有効化されているがクライアントでは有効化されていない場合、DHE_EXPORT が選択されたことをクライアントに適切に通知しません。そのため、中間者攻撃によりClientHelloのDHEをDHE_EXPORTによって書き換え、その後ServerHelloのDHE_EXPORTをDHEによって書き換えられることで、暗号化のダウングレード攻撃を実行される可能性があります。
2.    ディフィー・ヘルマン鍵交換では、DH鍵交換に利用する素数が1024ビット以下の場合鍵が解読される危険性があります。
a.    512ビット: 個人ユーザレベルの計算能力があれば解読可能
b.    768ビット: .大学・研究所レベルの計算能力があれば解読可能
c.    1024ビット: 政府内利用レベルの計算能力があれば解読可能

【PowerChute Business Editionに対する影響について】
  • PowerChute Business Editionサーバーとエージェントは本脆弱性の影響を受けます。
  • PowerChute Business Editionサーバーとエージェントが異なるコンピューターにインストールされている場合、信頼できるコンピュータ以外のTCPポート2260と2160へのアクセスをブロックしてください。
  • PowerChute Business Editionサーバーとエージェントが両方とも同じマシンで稼働している場合は、以下の回避方法を実施してください。
PowerChute Business Edition v8.0.1およびそれ以前のバージョンを使用している場合は、バージョンv9.0.1以降へのアップグレードを行ってください。

【回避方法】
  1. PowerChute Business Edition JRE Configuration Toolを使用し、PowerChuteにバンドルされているJava Runtime Environment (JRE)を、最新の32ビット Java  (JRE 8 Update 51またはそれ以降)にアップデートしてください。JRE Configuration Toolはこちらからダウンロードできます。
  2. 以下のコマンドを実行し、PowerChute Business Edition Agent のサービス/デーモンを停止してください。
Windows:
net stop apcpbeagent

Linux:
/etc/init.d/PBEAgent stop
  1. こちらのページよりダウンロードしたスクリプトを実行し、JREシステム・プロパティ“-Djdk.tls.ephemeralDHKeySize=2048”をPowerChute設定に追加してください。
ディフィー・ヘルマンの一時的な鍵が1024ビットまたはそれ以下のサイズである場合Logjam攻撃に対して影響を受けます。このような攻撃に対しては、2048ビット以上の鍵サイズが有効と考えられています。

Windows:
PowerShell 互換のマシンでは、Update _PCBEAgent.ps1 を実行してください。
PowerShell に互換ではないマシンでは、Run Update _PCBEAgent.vbs を実行してください。

Linux:
Update_PCBEAgent.tar をお使いのマシンのディレクトリにダウンロードしてください。
Update_PCBEAgent.sh ファイルを解凍し、実行してください。
  1. 以下のコマンドを実行し、PowerChute Business Edition Agent のサービス/デーモンを起動してください。
Windows:
net start apcpbeagent

Linux:
/etc/init.d/PBEAgent start
これは役に立ちましたか?
私たちは情報を改善するために何ができるのでしょうか?