バイオ認証装置のOpenSSLおよびmod_sslの脆弱性に関するお知らせ

平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。

本ページは、バイオ認証装置のOpenSSL および mod_sslに関する脆弱性につきまして、その内容と対応策についての情報を記載しております。
下記の情報をご確認のうえ、対策の実施をお願いいたします。

脆弱性についての内容

OpenSSL Project^(注1)より、「OpenSSL^(注2) におけるバージョン・ロールバックの脆弱性」の存在が報告されています。
米国US-CERT^(注3)より、「VU#744929: mod_ssl にクライアント認証の回避が可能な脆弱性」として報告されています。
弊社バイオ認証装置において、設定・管理時におけるhttps通信時にOpenSSLおよびmod_sslを利用しており、脆弱性の存在が確認されております。

(注1) OpenSSL Project はOpenSSL ツールキットとそれに関連するドキュメントの連絡、計画、開発のためにインターネットを使う世界中のボランティアによって運営されています。
(注2) SSL：Secure Sockets layerの略。トランスポート層でTCP/IP通信のセキュリティを確保するためのプロトコルです。
(注3) US-CERT：UNITED STATES COMPUTER EMERGENCY READINESS TEAMの略。米国における重要インフラ保護のための機関です。

対象製品、および修正版ソフトウェアについて

脆弱性対処済み修正版ソフトウェア（ファームウェア）をインストールすることにより、恒久的な対策を行うことができます。
対象製品は下記の通りです。お使いの製品（型名）によって修正版のソフトウェアの種類が異なりますので、下表より対応するアップデートファイルをダウンロードし、インストールしてください。
バイオ認証装置 FMSE-C301/FMSE-C3A1 は対策済ですので問題なくご使用いただけます。

[注意事項]
脆弱性対処済ソフトウェアをインストールすると自動的にバイオ認証装置が再起動します。再起動の間（約5分間）、指紋認証サービスは停止します。

ご参考

• OpenSSL Security Advisory（OpenSSL Project）(英語)
• mod_sslにクライアント認証の回避が可能な脆弱性(JVN)

今後とも、当社製品へのご愛顧を賜りますよう、何卒よろしくお願い申し上げます。

−以上−