ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB14005:日立製品における OpenSSL 情報漏えいを許してしまう脆弱性(CVE-2014-0160) への対応について

(JVNVU#94401838, JVNDB-2014-001920, CVE-2014-0160)

更新日:2014年05月12日

1. 概要

OpenSSL には、RFC6520 に規定されている TLS/DTLS 用 Heartbeat 拡張の実装に起因する情報漏えいを許してしまう脆弱性 (JVNVU#94401838, JVNDB-2014-001920, CVE-2014-0160) が存在します。

CVSSによる深刻度

 基本値:5.0
  攻撃元区分:ネットワーク
  攻撃条件の複雑さ:低
  攻撃前の認証要否:不要
  機密性への影響(C):部分的
  完全性への影響(I):なし
  可用性への影響(A):なし

 現状値:4.1 (2014年4月16日時点)
  攻撃される可能性:攻撃可能
  利用可能な対策のレベル:正式対策
  脆弱性情報の信頼性:開発者が情報を確認済

2. 影響を受けるシステム

+ OpenSSL 1.0.1 〜 1.0.1f
+ OpenSSL 1.0.2-beta 〜 1.0.2-beta1
+ コンポーネントとして OpenSSL を使用している日立製品

3. 想定される影響

脆弱性を悪用された場合、SSL サーバ証明書の秘密鍵、Cookie など、メモリに格納されている重要なデータを読み出されてしまう可能性があります。

図1:SSL サーバのメモリに格納されていたデータの一部が参照可能となってしまった事例
図1:SSL サーバのメモリに格納されていたデータの一部が参照可能となってしまった事例

4. 対策

(1) バージョンアップあるいは、対策版の適用
「5. 製品対応状況」を確認し、各製品から発信されている注意事項に沿って、対処してください。

(2) (推奨) SSLサーバ証明書の再発行と現在使用しているSSLサーバ証明書の失効
脆弱性を悪用された場合、SSL サーバ証明書の秘密鍵が読み出されてしまっている可能性があります。 Web サイトの提供形態によっては、現在使用しているSSLサーバ証明書の失効させ、SSL サーバ証明書の再発行を推奨します。

(3) (推奨) パスワードの変更
脆弱性を悪用された場合、Web サイトを利用しているユーザのパスワードが読み出されてしまっている可能性があります。 パスワード変更の実施を推奨します。

(4) (推奨) IDS/IPS、ネットワークパケット監視の導入/強化
アクセスログ、システムログに攻撃か否かを判断するための痕跡が残りませんので、検知などの対処が必要な場合には、IDS/IPSやネットワークパケット監視の導入/強化を推奨します。

5. 製品対応状況

日立製品ならびに、日立が提供する他社品(*印)の対応状況は、次の通りです。

2014年5月9日発行

+ 制御サーバ、コントローラ:RS90 シリーズ、S10 シリーズ、HISEC シリーズ
+ 産業用コンピュータ:HF-W シリーズ
+ 産業制御プラットフォーム:HIDIC-AZ シリーズ、PS21 シリーズ
+ DCS プラットフォーム:HIACS シリーズ

 影響ありません。

2014年4月25日発行

+ 日立金属 XLGMC/XGMC/GMC/GMX/eWAVE/BMC/GMAシリーズ

 影響ありません。


+ ARCserve Replication r16.5以降 (16.5, 16.5SP1, 16.5SP2) (*)
+ ARCserve D2D r16.5以降 (16.5, 16.5 update1) (*)
+ ARCserve Backup r15/r16/r16.5 (*)
+ ARCserve Replication r15/r16 (*)
+ ARCserve D2D for Windows r15/r16 (*)


+ 無停電電源装置(UPS)管理ソフト、オプション (*)

2014年4月22日発行

+ Hitachi IT Operations
+ HP-UX (*)
+ 日立から提供しているHP社ミドルウェア製品 (*)


+ AIX (*)

2014年4月21日発行

+ Virtage
+ Virtage Navigator
+ HVM管理コマンド(HvmSh)
+ ロードバランサ BIG-IP1500、AX2000、AX2000HL、AX2500 (*)


+ 日立アドバンストサーバHA8000シリーズ


+ BladeSymphony BS2000シリーズ


+ BladeSymphony BS500シリーズ

2014年4月18日発行

+ JP1/VERITAS Backup Exec
+ JP1/秘文
+ 秘文AE Full Disk Encryption
+ CA ControlMinder (旧名称: CA Access Control) (*)
+ FireWall-1 (*)
+ Symantec Protection Engine for Cloud Services (*)


+ JP1/VERITAS NetBackup


+ ALC NetAcademy2

2014年4月17日発行

+ ルータ・スイッチ GS/GRシリーズ

 GS/GRシリーズには、影響ありません。
 [GS3000/GS4000]
 [GR2000/GR4000]


+ 日立金属 Apresia シリーズ

 Apresia シリーズには、影響ありません。


+ (VSP) Hitachi Virtual Storage Platform
+ (HUS VM) Hitachi Unified Storage VM

2014年4月16日発行

+ アラクサラネットワークス AX シリーズ

 下記 AX シリーズには、影響ありません。
 [AX8600R/6700S/6600S/6300S, AX4600S/3800S/3600S/2400S]
 [AX7800R/7700R/7800S/5400S]
 [AX2500S/2200S/1200S]
 [AX620R]


+ Windows クライアント (*)
+ Windows サーバ (*)


+ Red Hat Enterprise Linux (*)

2014年4月15日発行

+ VMware (*)

2014年4月14日発行

+ 日立オープンミドルウェア製品
+ Hitachi Command Suite(ストレージ、サーバ管理)

6. 関連情報

6.1 脆弱性識別

6.2 注意喚起

7. 更新履歴

2014年05月12日
  • 5. 製品対応状況:2014年5月9日発行を追記しました。
2014年04月25日
  • 5. 製品対応状況:2014年4月25日発行を追記しました。
2014年04月23日
  • 5. 製品対応状況:2014年4月21日、4月22日発行を追記しました。
2014年04月19日
  • 5. 製品対応状況:日立が提供する他社品、2014年4月18日発行を追記しました。
2014年04月18日
  • 5. 製品対応状況:2014年4月17日発行を追記しました。
2014年04月17日
  • 5. 製品対応状況:2014年4月17日発行を追記しました。
  • 6.2 注意喚起を追記しました。
2014年04月16日
  • このページを新規作成および公開しました。

担当:寺田、大西/HIRT