ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB14010:日立製品における OpenSSL の脆弱性(CVE-2014-0224 他) への対応について

更新日:2014年06月20日

1. 概要

OpenSSL には、複数の脆弱性が存在します。

CVE-2014-0224 (中間者攻撃により情報漏えいや改ざんを許してしまう脆弱性)

 基本値:4.0
  攻撃元区分:ネットワーク
  攻撃条件の複雑さ:高
  攻撃前の認証要否:不要
  機密性への影響(C):部分的
  完全性への影響(I):部分的
  可用性への影響(A):なし

 現状値:3.1 (2014年6月6日時点)
  攻撃される可能性:実証可能
  利用可能な対策のレベル:正式対策
  脆弱性情報の信頼性:開発者が情報を確認済

CVE-2014-0221 (不正な DTLS ハンドシェイクによりサービス不能攻撃を許してしまう脆弱性)

 基本値:4.3
  攻撃元区分:ネットワーク
  攻撃条件の複雑さ:中
  攻撃前の認証要否:不要
  機密性への影響(C):なし
  完全性への影響(I):なし
  可用性への影響(A):部分的

 現状値:3.7 (2014年6月6日時点)
  攻撃される可能性:未評価
  利用可能な対策のレベル:正式対策
  脆弱性情報の信頼性:開発者が情報を確認済

CVE-2014-0195 (不正な DTLS 分割メッセージにより任意のコードを許してしまう脆弱性)

 基本値:6.8
  攻撃元区分:ネットワーク
  攻撃条件の複雑さ:中
  攻撃前の認証要否:不要
  機密性への影響(C):部分的
  完全性への影響(I):部分的
  可用性への影響(A):部分的

 現状値:5.9 (2014年6月6日時点)
  攻撃される可能性:未評価
  利用可能な対策のレベル:正式対策
  脆弱性情報の信頼性:開発者が情報を確認済

CVE-2014-0198 (SSL Mode Release Buffers 処理の NULL ポインタ参照によりサービス不能攻撃を許してしまう脆弱性)

 基本値:4.3
  攻撃元区分:ネットワーク
  攻撃条件の複雑さ:中
  攻撃前の認証要否:不要
  機密性への影響(C):なし
  完全性への影響(I):なし
  可用性への影響(A):部分的

 現状値:3.7 (2014年6月6日時点)
  攻撃される可能性:未評価
  利用可能な対策のレベル:正式対策
  脆弱性情報の信頼性:開発者が情報を確認済

CVE-2010-5298 (SSL Mode Release Buffers 処理の競合によりサービス不能攻撃を許してしまう脆弱性)

 基本値:4.0
  攻撃元区分:ネットワーク
  攻撃条件の複雑さ:高
  攻撃前の認証要否:不要
  機密性への影響(C):なし
  完全性への影響(I):部分的
  可用性への影響(A):部分的

 現状値:3.5 (2014年6月6日時点)
  攻撃される可能性:未評価
  利用可能な対策のレベル:正式対策
  脆弱性情報の信頼性:開発者が情報を確認済

CVE-2014-3470 (匿名 ECDH によりサービス不能攻撃を許してしまう脆弱性)

 基本値:4.3
  攻撃元区分:ネットワーク
  攻撃条件の複雑さ:中
  攻撃前の認証要否:不要
  機密性への影響(C):なし
  完全性への影響(I):なし
  可用性への影響(A):部分的

 現状値:3.7 (2014年6月6日時点)
  攻撃される可能性:未評価
  利用可能な対策のレベル:正式対策
  脆弱性情報の信頼性:開発者が情報を確認済

2. 影響を受けるシステム

+ OpenSSL 0.9.8 〜 0.9.8y
+ OpenSSL 1.0.0 〜 1.0.0l
+ OpenSSL 1.0.1 〜 1.0.1g
+ コンポーネントとして OpenSSL を使用している製品

3. 想定される影響

脆弱性を悪用された場合、任意のコード実行、サービス不能攻撃、情報漏えいなどの影響を受ける可能性があります。

4. 対策

(1) バージョンアップあるいは、対策版の適用
「5. 製品対応状況」を確認し、各製品から発信されている注意事項に沿って、対処してください。

5. 製品対応状況

日立製品ならびに、日立が提供する他社品(*印)の対応状況は、次の通りです。

2014年6月18日発行

+ JP1/VERITAS NetBackup
+ JP1/VERITAS Backup Exec
+ Symantec Protection Engine for Cloud Services (*)
+ ARCserve (*)
+ AIX (*)
+ Red Hat Enterprise Linux (*)
+ VMware (*)
+ Oracle Directory Services Plus (*)
+ HP-UX 11i v1/v2/v3 (*)
+ Windowsクライアント (*)
+ Windowsサーバ (*)
+ 日立で取り扱っているOracle製品 (*)
+ Hitachi Virtual Storage Platform
+ Hitachi Unified Storage VM
+ Hitachi Virtual Storage Platform G1000

2014年6月17日発行

+ BladeSymphony BS2000シリーズ


+ BladeSymphony BS1000シリーズ


+ BladeSymphony BS500シリーズ


+ BladeSymphony BS320シリーズ


+ 日立アドバンスドサーバHA8000シリーズ


+ 日立アドバンスドサーバHA8500シリーズ
+ クライアントブレード FLORA bd100/bd500シリーズ
+ シンクライアント FLORA Se210/Se330シリーズ
+ クライアント統合用管理ソフトウェア(Hitachi bd Link)
+ テープライブラリ装置 L1/8A, Lx/24, Lx/30A, Lx/48, L20/300, L18/500, L56/3000, L64/8500
+ エントリークラス・ディスクアレイ装置
+ 無停電電源装置(UPS)管理ソフト、オプション (*)
  PowerChute Business Edition, PowerChute Network Shutdown, PowerMonitor H,
  PowerMonitor H for Network, Network Management Card, SNMPカード
+ ロードバランサ AX2000, AX2000HL, AX2500, BIG-IP1500 (*)
+ ディスプレイ/キーボードユニット、コンソール切替ユニット
+ Hitachi Server Navigator
+ Update Manager, Log Collect, Log Monitor, Alive Monitor, RAID Navigator
+ Hitachi Server Navigator Installation Assistant


+ アラクサラネットワークス AX シリーズ

2014年6月13日発行

+ 日立金属 Apresia シリーズ
+ 日立金属 XLGMC/XGMC/GMC/GMX/eWAVE/BMC/GMAシリーズ

2014年6月6日発行

+ Juniper製品 (*)

6. 関連情報

6.1 脆弱性識別

6.2 参考情報

7. 更新履歴

2014年06月20日
  • 5. 製品対応状況:2014年6月13日を追記、6月17日と18日を改訂しました。
2014年06月19日
  • このページを新規作成および公開しました。

担当:寺田、大西/HIRT