04.10.14

背景情報

OpenSSL暗号のソフトウェアライブラリに重大なセキュリティ脆弱性が見つかりました。

影響

MarkLogicアプリケーションサーバーは、OpenSSLの使用により、構成を変更してSSLを使用することができます。

この脆弱性の影響を受けるMarkLogicのバージョンは次のとおりです。

  • MarkLogic 5.0-5~5.0-6
  • MarkLogic 6.0(6.0-1~6.0-5)のすべてのバージョン
  • MarkLogic 7.0(7.0-1~7.0-2.2)のすべてのバージョン(MarkLogic AMIを含む)

5.0-5より前のバージョンのMarkLogicでは、以前のバージョンのOpenSSLを使用しており、この脆弱性はありません。

解決方法

この脆弱性に対処するためにOpenSSLのパッチがリリースされています。MarkLogicでは、影響を受けるすべてのMarkLogicバージョンのパッチをOpenSSL 1.0.1gで開発し、この新たな修正プログラムを導入しています。

MarkLogicでは、SSLを使用しているお客様のシステムに早急にパッチを適用するようにお勧めしています。パッチ適用の方法は次のとおりです。

  1. クラスタをパッチリリース(http://developer.marklogic.com/productsから入手できます)にアップグレードします。パッチリリースのバージョンは次のとおりです。
    • MarkLogic 5.0~6.1
    • MarkLogic 6.0~5.1
    • MarkLogic 7.0~2.3
  2. お客様のクラスタのすべてのSSL認証を再生成します。この処理をしないと、認証の秘密鍵が被害を受ける可能性のある脆弱性があります。詳細については、このドキュメントの「アプリケーションサーバーでのSSLの構成」を参照してください。
    • MarkLogic 5ドキュメント
    • MarkLogic 6ドキュメント
    • MarkLogic 7ドキュメント
  3. SSL経由のアプリケーションレベルの認証またはBASICを使用している場合は、パッチを適用して新しいSSL認証を導入する前に、すべてのユーザーのパスワードを変更してください。これには、セキュリティデータベースの内部ユーザーと外部認証を使用しているすべてのユーザー(SSL経由のBASICが必要)の両方が含まれます。これが必要な理由は、この脆弱性によってパスワードが漏洩した可能性があるからです。

パッチ適用の方法についてご質問がある場合は、support@marklogic.comまでお問い合わせください。

ハートブリード脆弱性の詳細については、http://heartbleed.comまたはhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160を参照してください。

当ウェブサイトではクッキーを使用しています。

当Webサイトを継続利用することにより、お客様はMarkLogicのプライバシーステートメントに従ってクッキーの使用に同意するものとします。