機械制御/振動騒音
IR情報 会社情報

日本語版 PERFORCEサーバ・プログラム 2012.2緊急パッチリリースのお知らせ

title_perforce.gif
line_yellow.gif
 
「日本語版 PERFORCEサーバ・プログラム 2012.2」緊急パッチリリースのお知らせ
 

先日来、JPCERT/CC(JPCERT コーディネーションセンター)の注意喚起(*1) や、IPA(情報処理推進機構)の情報セキュリティページ(*2) で公開されておりますように、OpenSSL Project が提供する OpenSSL の heartbleed 拡張には情報漏えいの脆弱性があることがわかりました。

(*1) http://www.jpcert.or.jp/at/2014/at140013.html
 

(*2) https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
 


PERFORCE の通信において SSL 接続をご利用になられているお客様は、以下のとおり、この問題に対して処置を行っていただく必要がございます。

Perforce Software社は 2014年4月10日、この OpenSSL ライブラリの修正に対応して、関連プログラムのパッチをリリースいたしました。
日本語版PERFORCEについて、対象となるプログラムは次のとおりです。

■プログラム
・PERFORCE サーバ(P4D)
・PERFORCE プロキシ(P4P)
・PERFORCE ブローカ(P4Broker)
・PERFORCE CLI クライアント(P4)

GUIクライアント(P4V)については、最新版P4V 2013.2をご利用いただけますようお願いいたします。

■プラットフォーム
・Windows (32bit/64bit)
・Linux (32bit/64bit)
・Mac OS X (64bit)
・Solaris 10 (32bit/64bit)

■PERFORCE のバージョン(日本語版)
・2012.2

 
注:バージョン1.0.1 から 1.0.1f までの OpenSSL ライブラリを用いてビルドしている、上記バージョンの PERFORCE が対象となります。
お使いの PERFORCE サーバ・プログラムの対応 OpenSSL ライブラリを確認するには、'p4d -V'の実行結果をご確認ください。


英語版PERFORCEのご利用のお客様、および詳細をお知りになりたい方は、Perforce Software社ホームページの関連記事をご参照ください。
http://go.perforce.com/173DTI3220002c3003ob500


ご参考までに、この記事の参考和訳を本ページの末尾に示します。


このパッチのリリースに伴い弊社では、日本語版 PERFORCE 2012.2 のパッチ版を、以下のページからダウンロードできるようにいたしました。


日本語版PERFORCEダウンロードページ:
/ss/contents/detail/p4download_soft_2013.2.html

PERFORCE の通信で SSL 接続をご利用になられてるお客様は、このパッチ版をダウンロードし、Perforce Software社の記事にあるとおり、各プログラムをアップグレードしてくださいますようお願い申し上げます。



Windows版PERFORCEをご利用の方へ【ご注意】

Windows版 PERFORCE(p4d.exe、p4s.exe、p4p.exe、p4ps.exe、p4broker.exe、p4brokers.exe、p4.exe)につきましては、今回のパッチに関してインストーラでのご提供はございません。インストール済みの PERFORCE サーバ環境に対して、プログラムファイル(.exe ファイル)を個別に上書きしてください。
なお、p4d.exe/p4s.exe、p4p.exe/p4ps.exe、p4broker.exe/p4brokers.exe を上書きする際は、必ず、それぞれのサーバ(サービス)を停止させてから上書きしてくださいますようお願い申し上げます。

line_dot_526.gif

Perforce Software社ホームページ 関連記事の参考和訳


Heartbleed 対策アップデート:
PERFORCE パッチ版が利用可能になりました


2014年4月10日
Perforce Software社 テクニカルサポート統括責任者 Doug Olson

2014年4月7日に、OpenSSL(Secure Sockets Layer (SSL) プロトコルのオープンソース実装)の脆弱性(CVE-2014-0160、または Heartbleed)が見つかりました。
Heartbleed 脆弱性を利用した PERFORCE サーバ悪用の形跡は見つかっておりませんが、お客様のデータの安全性を最優先に考え、当社が行った対策およびお客様に行っていただきたい手順についてご案内いたします。


影響を受ける製品:

お使いの PERFORCE 製品の SSL 接続を有効にした場合、SSL プライベートキーやパスワードハッシュなどの重要なデータが、第三者によってサーバから盗まれる危険性があります。

影響を受ける製品は、すべてのプラットフォームにおける、SSL 接続を構成した、リリース 2012.2、2013.1、2013.2、2013.3 および 2014.1 のサーバ(P4D)、ブローカ(P4Broker)およびプロキシ(P4P)です。Git Fusion および Swarm の OVA ディストリビューション内で、HTTPS 接続を構成した Apacheサーバも影響を受けます。

また、Git Fusion や Swarm、あるいは Insights を、お客様ご自身の Web サーバで使用している場合、Web サーバの脆弱性が原因で影響を受ける可能性があります。(Web サーバベンダーにご確認ください。)


現在利用可能なアップデート:

現時点で保守契約を締結しているお客様は、リリースされた最新のパッチ版を、できるだけ早くインストールするようお勧めいたします。影響を受ける製品のパッチ版は、弊社(Perforce Software社)Web サイトからご利用いただけます。



 
東陽テクニカ註:
日本語版 PERFORCE をご利用のお客様は、東陽テクニカの Web サイトから日本語版 PERFORCE のパッチ版をダウンロードしていただけます。

 


・Perforce Sever (P4D)
・Perforce Broker (P4Broker)
・Perforce Proxy (P4P)
・Git Fusion用 OVA
・Swarm用 OVA



 
東陽テクニカ註:
Git Fusion用 OVA および Swarm用 OVA に関しては、日本語版のリリースがございません。

 



なお OVA の場合、apt-get コマンドによるアップグレードを行うだけで、脆弱性が解決されることがあります。

弊社は現在、クライアントプログラムのパッチ版を作成中です。これについても、間もなくリリースできる予定です。

もし、お客様が現在、保守契約を締結していらっしゃらない場合は、弊社アカウント担当にご連絡ください。



 
東陽テクニカ註:
日本語版 PERFORCE をご利用のお客様は、東陽テクニカテクニカルサポートまでお問い合わせください。

 



パッチ版インストール後の作業:

パッチ版をインストール後、お使いのサーバの脆弱性を悪用された場合に備えて通信とデータを確保するため、以下の手順を行うことをお勧めします。

(1)SSL 証明書の無効化および再発行

この作業を完了するには、お客様のユーザや自動化システムが新しい証明書を承認する必要があります。

・古い証明書やプライベートキーのテキストファイルを移動または消去します。
・p4d -Gc を起動し、新しい証明書を生成します。
・p4 trust-f を起動し、新しいフィンガープリントを保存(および承認)します。
・ユーザに E-mail を送信し、新しいフィンガープリントの承認を要求します。


自動化システムの場合は、手動で新しいフィンガープリントの承認を行います。Swarm の場合、この作業はファイル"/data/p4trust" を削除することで完了します。


(2)全ユーザのパスワード再設定要求

ユーザに対して強制的にパスワードを再設定させるには、ナレッジベース "Forcing password reset" に記載された手順をご利用いただけます。


ご質問や気になる点などありましたら、、contact.support@perforce.comにお問い合わせください。

 

line_dot_526.gif

本件に関してご不明な点などがございましたら、弊社テクニカルサポートまでお問い合わせください。

PAGE TOP