Jump to content 日本-日本語
日本HPホーム 製品とサービス サポートとドライバ ソリューション ご購入方法
≫  お問い合わせ
日本HPホーム
製品とサービス  >  HP ProLiant サーバ

SSRT0715: HPの管理ソフトウェアの
セキュリティに関するお知らせ

製品&サービス

HP ProLiant

製品情報

HP BladeSystem

製品情報

キャンペーン

オンラインストア

製品カタログ

Why HP ProLiant?

サーバ選定/構成

導入事例

技術的な情報

サポート&サービス

販売店検索

旧製品情報

新着情報

メールニュース配信

日本HPサイトマップ
 
コンテンツに進む

参照番号SSRT0715
HPの管理ソフトウェア のセキュリティに関する脆弱性(SSRT0715)

発表: 2001年9月

概要

HPは、提供しているすべての管理ソフトウェアの品質とセキュリティについて事前対応型のアプローチをとっており、セキュリティの問題にはとりわけ慎重に対応するように努めています。このセキュリティに関するお知らせでは、HPのWeb対応ソフトウェアが汎用プロキシ サーバとして動作するという、潜在的なセキュリティ上の脆弱性への対策について説明しています。できるだけ早く、マネジメント エージェントおよび管理ユーティリティをManagement CD V5.0以降に入っている最新バージョンにアップグレードするか、または適切な修正用パッチ ファイルをダウンロードしてこれらのソフトウェアを修正してください。

HPのWeb対応管理ソフトウェアは、汎用プロキシ サーバとして動作します。内部ネットワークからインターネットへのトラフィックは、プロキシ サーバ システムのポート2301でHPのWeb対応管理ソフトウェアを使用することにより、通常のプロキシ サーバによるフィルタ処理をバイパスすることができます。さらに、外部からのトラフィックも、プロキシとしてインターネットにさらされているサーバがファイアウォールで保護されていない限り、そのサーバのポート2301でHPのWeb対応管理ソフトウェアを使用することによって、内部ネットワークに進入することが可能です。

複数のネットワークに接続されているシステムで、一方のネットワークが安全なイントラネットであり、他方が危険なインターネットである場合には、この問題は深刻な意味を持ちます。システムが1つのネットワークにしか接続されていない場合は、さほど重大な問題とはなりません。

Web対応エージェントおよびユーティリティは、プライベート ネットワークでのみ利用し、インターネットやファイアウォールの外にあるシステムでは利用しないでください。また、外部からの攻撃からお客様自身を守るためには、必須ではないポート(HPの管理ポートの2301や280など)へのアクセスを禁止するといった堅実なセキュリティ ポリシーを実践することも重要です。また、見破られにくいパスワードを使用し、さらに定期的に変更するようにしてください。

概要問題の範囲

HPのWeb対応管理ソフトウェアのWebコンポーネントは、HTTPサービスを提供することによって、Webブラウザによる管理情報へのアクセスを可能にしています。Web対応管理ソフトウェアは、IntelベースおよびAlphaベース サーバ/クライアント システムでHPがサポートしているオペレーティング システムの大半向けに提供されています。これらのオペレーティング システムとは、Microsoft Windows 9x、NT、および2000、NetWare、Red Hat 7.0、Tru64 UNIX、ならびにOpenVMSです。Web対応管理ソフトウェアは、HPのストレージ製品でもサポートされています。

このセキュリティに関するお知らせは、HPのすべてのWeb対応管理ソフトウェアに適用されます。このお知らせの最後には、影響を受けるソフトウェア バージョンのリストが示されています。

影響を受けないソフトウェア バージョン

リモートInsightボードLights-out EditionのWeb対応コンポーネントは、影響を受けません。また、CA Unicenter TNG、Tivoli Enterprise、Tivoli NetView、HP OpenViewなどのエンタープライズ管理コンソールからのHP製プラットフォームの管理を強化するためにHPが提供している統合モジュール(HPのWebサイトからダウンロード可能)も影響を受けません。

HPの対応

HPは現在、影響を受けるソフトウェアの修正版のテストとリリースを進めています。Compaq Management CDバージョン5.0以降には、HPの一部のWeb対応管理ソフトウェアでの汎用プロキシ サーバに関する問題を解決するアップデート ファイルが収録されています。HPは、新しいソフトウェア バージョンをリリースするだけではなく、システムを最新バージョンにアップグレードしたくないお客様のために、影響を受けるソフトウェアのWeb対応コンポーネントをアップグレードするためのソフトウェア パッチもリリースします。

現在、HPのFTPサイト ftp://ftp.compaq.com/pub/softpaq/sp16001-16500/ から2つのパッチをダウンロードできます。

SoftPaq 16318は、Compaq基本エージェントfor Windows Servers、Compaq Survey for Windows、Compaq Power Manager、Compaqアベイラビリティ エージェント、およびCompaqインテリジェント クラスタ アドミニストレータの影響を受けるバージョンについて問題を修正します。このパッチは、Compaq InsightマネージャXEバージョン2.0および2.1でインストールされるSNMPおよびDMIエージェントの問題も修正します。

SoftPaq 16317は、Compaq基本エージェントfor NetWare serversの影響を受けるバージョンについて問題を修正します。以下のソフトウェアの新バージョンが提供される予定です。

Tru64 UNIXについては、新しいバージョンのエージェント(V2.2)がsetld tarキットとしてCompaq Management CDバージョン5.0以降に収録されています。このキットは、HPのサポートFTPサイト http://ftp.support.compaq.com/public/unix/ からダウンロードすることもできます。

サポートFTPサイトでは、"MUPssrt0715u_cpqim.tar"キットとそのRead meファイルの"MUPssrt0715_cpqim.Readme"が、影響を受けるUNIX(4.0f、4.0g、5.0、5.0a、および5.1)のディレクトリにあります。Read meファイルには、パッチ キットのインストール手順が示されています。MUPssrt0715は、MUPssrt0705を置き換えるものです。

Open VMSについては、この問題は、マネジメント エージェントfor OpenVMSのバージョン2.2で修正されました。このバージョンのマネジメント エージェントは、HPのWebサイト  http://www.openvms.compaq.com/openvms/products/mgmt_agents/ (英語)からダウンロードしていただけます。

Compaqデスクトップ/ワークステーション マネジメント エージェント バージョン4.37、Rev G(SP16943)は、HPのダウンロードページよりダウンロード可能です

LC Combined Client 1.50 Rev C(SP16618)(アップデート済みのClientエージェント、LCRMS、および診断ユーティリティを含む)は、HPのダウンロードページよりダウンロード可能です。

お客様による対処方法

HPのWeb対応エージェントまたはユーティリティが動作しているシステムを確認してください。これには下記の3通りの方法があります。方法2と方法3で生成されるリストには、役に立つ情報が入っていますが、Web対応エージェントやユーティリティが動作しているネットワーク上のシステムのすべてを含んでいない可能性もあります。これらのリストには、明確な指定により、または検出されたために、管理対象となっているシステムだけが含まれます。
 
方法1
    Webブラウザでシステムにアクセスして、http://[IP_ADDRESS]:2301またはhttp://[machine_name]:2301と入力します。システムでWeb対応管理ソフトウェアが動作している場合は、サーバのデバイス ホームページにアクセスでき、コンポーネントのリストが表示されます。
     
  方法2
    Compaq InsightマネージャXEを使用している場合は、Webエージェントを備えたシステムのリストを戻すためのクエリを定義することによって、Webエージェントが動作しているシステムのリストを取得することができます。Compaq InsightマネージャXEシステムにログインして、新しいクエリを作成します。[Devices with Web Agent]条件を選択し、[Criteria Configuration]画面では利用可能な製品をすべて選択してください。クエリを作成したら、保存してから実行します。Webエージェントを備えたすべてのデバイスのリストが戻されます。
     
  方法3
    Compaq InsightマネージャWindows 32コンソールを使用している場合は、Compaq Insightマネージャを起動してツールバーの[Web Device List]ボタンを選択することによって、Webエージェントが動作しているシステムのリストを取得することができます。この方法では、Compaq Insightマネージャによって管理されているシステムのリストが表示され、Webエージェントがインストールされていて有効になっているシステムにハイパーリンクとして下線が付けられます。Web対応デバイスのみのリストを印刷するには、左側の列にある[Web Devices]ハイパーリンクを選択します。Web対応デバイスのみが表示されるので、ブラウザからこのページを印刷してください。
 
何らかの理由で修正用パッチ ファイルのリリースを待てない場合は、問題があると思われるシステムで、HPの管理ソフトウェアのWebコンポーネントを一時的に無効にしておくことをおすすめします。無効にするには、このお知らせの最後に示す手順に従ってください。

Web対応エージェントおよびユーティリティは、プライベート ネットワークでのみ利用し、インターネットやファイアウォールの外にあるシステムでは利用しないでください。また、ファイアウォールやプロキシの必須IPポート以外のポートへのアクセスが無効に設定されていて、会社のネットワークがインターネットから隔離されていることを確認してください。これらのポートには、ポート2301(デバイス管理ポート)やポート280(Compaq InsightマネージャXEポート)があり、これらを無効に設定することは、ネットワーク セキュリティにおいて重要なポリシーの1つです。

アップデート版のソフトウェアは、HPのシステム ソフトウェアのダウンロードWebサイト http://www.compaq.com/support/files/server/jp/index.html (日本語)で提供されます。

概要この問題に関するサポートを受ける方法

製品をご使用になっている地域でHP製品のサポートを受ける場合の通常の手順に従ってください。サポートを受けるための手順が明確ではない場合は、製品をご使用になっている地域のHPのWebサイトにアクセスして、サポートに関する情報を参照してください。各地域のHPのWebサイトには、HPのWebサイト http://www.compaq.com/worldwide/(英語)で地域を選択することによってアクセスできます。

また、製品をご使用になっている地域のサポートの電話番号については、HPのWebサイト http://www.compaq.com/corporate/overview/world_offices.html (英語)に掲載されている表を参照してください。

サポートは、以下の目的に役立ちます。
  1. ご使用のソフトウェアが問題の影響を受けるかどうかの判断
  2. 適切なSoftPaqの入手(利用可能な場合)
  3. SoftPaqの適用および実行

HPのサポート担当者は、問題および修正方法についてよく理解しており、HPのシステム管理製品に精通しています。

バージョン/プラットフォーム/オペレーティング システムのリスト

エージェント/ユーティリティ

プラットフォーム

オペレーティング システム

影響を受けるエージェントのバージョン

修正されたエージェントのバージョン
Compaq基本エージェントfor Servers ProLiantサーバおよびProsignia Server Windows NT、Windows 2000 4.0〜4.90B 5.0
NetWare 4.01〜4.90B 5.0
Linux 4.90および4.90B 5.0
Compaq InsightマネージャXE(SNMPおよびDMIエージェント) ProLiantサーバおよびProsignia Server Windows NT/Windows 2000 1.0〜2.1  SoftPaq SP16318
Compaq Surveyユーティリティ(エージェントとしてインストールされた場合) ProLiantサーバおよびProsignia Server Windows NT 2.17〜2.33b   2.34
NetWare 2.17〜2.33b   2.34
Compaqインテリジェント クラスタ アドミニストレータ ProLiant S100、F100、F200、およびF500クラスタ Microsoft Cluster Server(Windows NT) 1.0〜2.1  SoftPaq SP16318
Compaqアベイラビリティ エージェント ProLiantサーバおよびProSignia Server Windows NT 4.0/Windows 2000 1.0  SoftPaq SP16318
System Healthcheck ProLiantサーバおよびProSignia Server Windows NT 4.0 バージョン3.0.0〜3.0.1 3.0.2
エンタープライズ ボリューム マネージャおよびコマンド スクリプタ ProLiantサーバ AlphaServer Windows NT/Windows 2000Tru64 UNIXOpenVMS CS v1.0   
Compaqマネジメント エージェントfor Tru64 UNIX AlphaServer Tru64 UNIX V4.0f、V4.0g、V5.0、V5.0a、およびV5.1 V1.0(Tru64 UNIX V4.0f〜V5.0aに付属)V2.0(Tru64 UNIX V5.1に付属、または4.7/4.8 Management CDからインストール)V2.1(4.9 Management CDからインストール)V2.1a(FTPサポート サイトからインストール) V2.2 5.0 Management CDからインストール または、パッチ キット(MUPssrt0705_cpqim)による強制アップデート キットはTru64 UNIXの全バージョンにインストール可能
マネジメント エージェントfor OpenVMS AlphaServer OpenVMS V7.1〜V7.2-1H1(Alphaのみ) 1.0、2.0、および2.1 バージョン2.2
Compaq Power Management ProLiantサーバおよびProsignia Server Windows NT 4.0、Windows 2000 1.4〜1.8b  1.8c
Open SAN Manager SANworksマネージメント アプライアンス Windows 2000 1.0〜1.0a  
SANworksリソース モニタ 1.0〜1.0a  
SANworksエレメント マネージャ(HSG用)1.0 1.0  
ストレージ アロケーション リポータ 1.0〜1.0a  

Web対応エージェントを無効にする手順

修正用パッチ ファイルが提供されるまで待てない場合は、以下の手順に従ってエージェントのWebコンポーネントを無効にすることができます。Webコンポーネントだけを無効にできないものについては、エージェントまたはユーティリティ全体を無効にするための手順が示されています。
 
Microsoft Windowsサーバ

Compaqサーバ マネジメント エージェントfor Windows NTをインストールすると、Webベースの管理はデフォルトで有効になります。Webベースの管理を無効にするには、以下の手順に従ってください。

  1. [スタート]メニューから、[設定]、[コントロール パネル]の順に選択します。
  2. コントロール パネルの[サービス]アプレットを選択して実行します。
  3. サービスのリストから[INSIGHT WEB AGENT]を選択します。
  4. このサービスが実行中のときは、[停止]ボタンをクリックします。
  5. 自動的に再起動しないように、[スタートアップ]をクリックして[手動]を選択します。
  6. [OK]をクリックします。
  7. [閉じる]をクリックします。

以上の手順でエージェントは停止し、自動的に再起動することがなくなります。SNMP管理は引き続き利用できます。

  • Windows 2000の場合 - デスクトップにある[マイ コンピュータ]を右クリックして[管理]を選択します。[コンピュータの管理]というウィンドウが開きますので、[サービスとアプリケーション]の下にある[サービス]をクリックしてください。ウィンドウの右側に、システムにインストールされているサービスが表示されます。
NetWareサーバ エージェント

Compaqマネジメント エージェントfor NetWareのインストール時にWeb対応管理を有効にしており、後で無効する場合は、NetWareサーバのコンソールから以下の手順を実行してください。

  1. CPQAGINをロードします。
  2. [Configure Existing NetWare Agents]オプションを選択します。
  3. CPQWEBAGのロードに関する行で[NO]を選択します。
  4. 変更内容を保存してCPQAGINを終了します。

以上の手順でWeb対応エージェントがロードされなくなります。SNMP管理は引き続き利用できます。


Linuxサーバ エージェント

  1. Webエージェントの動作を停止するには、次の手順を実行します。
    • "root"としてログインします。
    • "/etc/rc.d/init.d/cmafdtn stop cmawebd"コマンドを実行します。
  2. Webエージェントを無効にして、再起動時や実行レベルの変更時に起動しないようにするには、次の手順を実行します。
    • "root"としてログインします。
    • "/etc/rc.d/init.d/cmafdtn"ファイルを(viなどのエディタで)編集して次の行から"cmawebd" を削除します。
      PNAMES="cmafdtnpeerd cmahostd cmathreshd cmawebd"
Survey for WindowsおよびSurvey for NetWare

SurveyのWebコンポーネントだけを無効にすることはできません。以下の手順に従って、サービス全体を無効にしてください。

Survey for Windows
コマンド プロンプトに対して次のコマンドを入力します。 %SystemDrive%\COMPAQ\SURVEY\SURVEY-U
Surveyサービスがアンロードされ、次の再起動時に起動しなくなります。

Survey for NetWare
Survey for Netwareをコンソール画面からアンロードするには、次のコマンドを入力します。
UNLOAD SURVEY
デフォルトでは、Surveyのインストール時に、AUTOEXEC.NCFファイルに"load SURVEY -w10 -cWed.12,7"という行が追加され、Surveyが自動的に起動するように設定されます。サーバの次の再起動時にSurveyが自動的に起動しないようにするには、この行を削除します。

System Healthcheck

SHC binディレクトリ(cd%systemdrive%\compaq\shc\binなど)に移動します。
まず、"net stop cpqshc"と入力してサービスを停止します。
次に、"shcsvc -remove"と入力してサービスを削除します。
SHCへのコマンド ライン インタフェースは引き続き機能します。

Compaq Power Agent

  1. Webエージェントの動作を停止するには、次の手順を実行します。
    • Windowsのコントロール パネルにある[サービス]をダブルクリックします。
    • [サービス]ダイアログ ボックスで、[Compaq Power Management Web Agent]をクリックします。
    • [停止]をクリックしてエージェントを停止します。
  2. サービスが再起動しないようにするには、次の手順を実行します。
    • [スタートアップ]ボタンをクリックし、[無効]を選択して[OK]をクリックします。
OpenVMSマネジメント エージェント

  1. Webエージェントの動作を停止するには、次の手順を実行します。
    • システム アカウントでログインします。
    • V1.0またはV2.0の場合は、$@sys$specific:[wbem]stop_webagentsと入力します。
    • V2.1の場合は、$@sys$specific:[wbem]wbem$shutdownと入力します。

この問題は、マネジメント エージェントfor OpenVMSのバージョン2.2で修正されます。このバージョンのマネジメント エージェントは、HPのWebサイト http://www.openvms.compaq.com/openvms/products/mgmt_agents/ (英語)からダウンロードしていただけます。

Tru64 UNIXマネジメント エージェント

  1. Webエージェントの動作を停止するには、次の手順を実行します。
    • Windowsのコントロール パネルにある[サービス]をダブルクリックします。
    • "/sbin/init.d/insightd stop"コマンドを実行します。
  2. Webエージェントを無効にして、再起動時やマルチユーザ モードへの変更時に起動しないようにするには、次の手順を実行します。
    • "root"としてログインします。
    • Tru64 UNIX V4.0fまたはV4.0gでは、"rm /sbin/rc2.d/*insightd"コマンドを実行します。
    • Tru64 UNIX V5.0以降では、"/usr/sbin/rcmgr set INSIGHTD_CONF -1"コマンドを実行します。
  3. パッチ キットのインストール時にWebエージェントを再び有効にするには、次の手順を実行します。
    • "root"としてログインします。
    • Tru64 UNIX V4.0fまたはV4.0gでは、
      "ln -s /sbin/init.d/insightd/sbin/rc2.d/Kxxinsightd"コマンドを実行します。ここで、xxは、後でsnmpdに使用される任意のシーケンスNbです。
    • Tru64 UNIX V5.0以降では、"/usr/sbin/rcmgr set INSIGHTD_CONF 1"コマンドを実行します。
デスクトップおよびポータブルWeb対応エージェント

デスクトップおよびポータブル エージェントからWeb対応コンポーネントを削除するには、以下の手順に従って、Windowsシステムの[アプリケーションの追加と削除]でエージェントをアンインストールし、DMI Webコンポーネントなしのエージェントを再インストールしてください。

Windows 9x/NTシステムからのWeb対応デスクトップ エージェントのアンインストール

  1. [スタート]メニューから、[設定]、[コントロール パネル]の順に選択します。
  2. コントロール パネルの[アプリケーションの追加と削除]を選択します。
  3. [セットアップと削除]タブで[Compaq Insight Management Web Agent]を選択します。
  4. [追加と削除]ボタンをクリックしてエージェントを削除します。

デスクトップおよびワークステーションの場合は、インストール時に[DMI Web Component]の選択を解除してください。

ポータブルの場合は、WebサポートなしでCompaqマネジメント エージェントをインストールするには、[custom]、[DMI options]の順に選択し、[Change]ボタンをクリックします。[Compaq DMI Web Agent]と[Compaq DMI Web Viewer]の選択を解除してください。


HPおよびその各サプライヤは、本サーバに関していかなる目的で提供される資料、関連グラフィックス、またはソフトウェアについても、そこに含まれる情報の適合性については、いっさい保証しません。これらの資料および関連グラフィックスの内容はすべて、そのままの状態で提供されるもので、いかなる保証も含みません。これらの資料および関連グラフィックスの内容はすべて、将来予告なしに変更されることがあります。これらの資料および関連グラフィックスの使用の結果生じるあらゆるリスクはお客様負担となります。いかなる場合もHPおよびその各サプライヤは、直接損害、結果損害、付随的損害、特別損害、懲罰的損害その他いかなる損害(業務上利益の逸失、業務の中断、業務情報の喪失から生じる損害を含むがこれらに限られません)についても何らの責任も負担しません。HPが当該損害の発生の可能性について知らされていた場合でも同様にHPは何らの責任も負担しません。
印刷用画面へ
プライバシー 本サイト利用時の合意事項 ウェブマスターに連絡
© 2008 Hewlett-Packard Development Company, L.P.