【重要なお知らせ】 Daou社製品のGNU bash脆弱性

2014 年月 10 月 3 日
お客様各位
シーティーシー・エスピー株式会社
【重要なお知らせ】 Daou社製品のGNU bash脆弱性に関するご案内
拝啓貴社ますますご清栄のこととお慶び申上げます。平素は格別のお引き立てを賜り、厚くお礼申し上
げます。ご利用頂いております Daou 社 TerraceSpamWatcher 製品並びに TerraceMailSuite 製品において、
2014 年 9 月 24 日、Linux などの UNIX 系 OS で標準的に使われているシェル「bash」に重大な脆弱性が発
見され、影響を受ける可能性が確認されましたので、下記の通り詳細内容をご案内致しますので誠に恐縮で
はございますが、内容をご確認のうえ、必ずご対応いただきますようお願い申し上げます。
敬具
－記－
---------------------------------------------------------------------■対象製品：
---------------------------------------------------------------------Terrace Spam Watcher（全モデル、全バージョン）
Terrace Mail Suit（全バージョン）
---------------------------------------------------------------------■事象に関して：
---------------------------------------------------------------------GNU bash の環境変数の処理には脆弱性があり、外部からの入力が、GNU bash の環境変数に設
定される環境において、遠隔の第三者によって任意のコードが実行される可能性があります。Daou
社製品に関しても LinuxOS を採用しており、標準で GNU bash がインストールされております。
その為、各製品の対応を下記にご報告させて頂きます。脆弱性の詳細はお手数ですが下記ページを
ご参照下さい。
https://www.jpcert.or.jp/at/2014/at140037.html
---------------------------------------------------------------------■ご使用の製品での対応方法：
---------------------------------------------------------------------1.Terrace Spam Watcher
1-1.アプライアンスバージョン向け(VA 版含む)
A) ファームウェアのオンラインアップデートによる対応
・ファームウェアのアップデートで対応可能なお客様はファームウェアのアップデートでご対応を
本資料に掲載している情報は、発表時点の内容であり、通知なく変更される場合があります。予めご了承ください。
資料中に記載のある会社名、製品名、サービス名は各社の商標または登録商標であり、各々の所有者が知的財産権を保持します。
お願い致します。
※アップデートを実施するとサービス再起動が発生します。
環境にもよりますが、最短 5 分程度のサービス停止が発生します。
・アップデート手順は、下記になります。
-----Web 管理画面にて
1.環境設定 > アップデート
より、最新バージョンのファイルを"ダウンロード"ボタンよりダウン
ロードします。
2.ダウンロードが完了すると、"今すぐ適用"のボタンが表示されますので、押下します。
----・ソフトバージョンに v6.8.6.5 を適用した場合、バージョンの表示は v6.8.6.5 になりますが、GNU
bash のパッチは適用されませんのでご注意ください。
ソフトウェア版の場合は、下記「1-2.ソフトバージョン向け」の欄を参考してください。
B) オフラインアップデートによる対応
・ファームウェアのアップデートで対応出来ないお客様は、オフラインパッチでの対応となります。
※本パッチ適用による Spamwatcher サービス再起動はありません。
・オフラインパッチは以下サイトからダウンロードをお願いします
ファイル名は "bash_offlinePatch_total_version.tar.gz"となります。
CTCSP DaouJapan ユーザサイト
http://www.ctcsp-support.jp/daou/support/DL/index.html
※本ユーザサイトには、認証 ID/Password が必要です。
・オフラインパッチは Terrace Spam Watcher の全バージョンに適用可能です。
適用方法は、下記になります。
-----Web 管理画面にて
1.環境設定 > アップデート
より、オフラインアップデートの項目で
"bash_offlinePatch_total_version.tar.gz" ファイルをローカルＰＣより、"参照"し、"今すぐ登録"
を押下します。
2.数分後、ファイルの登録が完了すると”アップデート開始” ボタンが表示されますので、押下
します。
-----・オフラインパッチファイルを SpamWatcher に"今すぐ登録”でアップロードするとバージョン
情報が 6.8.6.5 で表示されますが、このパッチのアップデートによって現行バージョンの表示は
本資料に掲載している情報は、発表時点の内容であり、通知なく変更される場合があります。予めご了承ください。
資料中に記載のある会社名、製品名、サービス名は各社の商標または登録商標であり、各々の所有者が知的財産権を保持します。
変更されず、GNU Bash のみアップデートを行います。
1-2.ソフトウェアバージョン
・ソフトウェアバージョンの OS はお客様にて管理されておりますので、お客様自身でこの問題に
対応する bash のアップデートを行って頂く必要がございます。
2.Terrace Mail Suite
Terrace Mail Suite に関しましては、OS はお客様にて管理されておりますので、お客様ご自身で
この問題に対する bash のアップデートを行って頂く必要がございます。
以上今後とも宜しく御願い申し上げます。
───────────────────────────────────
■本件に関するお問い合わせ先
【技術的なお問い合わせ先】
CTC テクノロジー・カスタマーサポートセンター
Web フォーム https://soldb.ctct.co.jp/csq/
（プロダクトより『Daou
Terrace
Mail』をご選択ください）
受付時間：平日 9 時～17 時 30 分（ソフトウェア QA サービス）
※土日祝日・12/29～1/3 の年末年始休暇除く
【本案内・保守契約に関するお問い合わせ先】
シーティーシー・エスピー株式会社
業務サービス部サービス営業推進課
E-mail アドレス：[email protected]
受付時間：平日 9 時～17 時 30 分
※土日祝日・12/29～1/3 の年末年始休暇除く）
以上
本資料に掲載している情報は、発表時点の内容であり、通知なく変更される場合があります。予めご了承ください。
資料中に記載のある会社名、製品名、サービス名は各社の商標または登録商標であり、各々の所有者が知的財産権を保持します。

Download Report