ページの本文へ

Hitachi
お問い合わせお問い合わせ

セキュリティ情報(2015年6月9日)

日立ディスクアレイシステムにおけるSVP セキュリティホール
輸出グレードのDH/DHE脆弱性について

2015年6月9日
(株)日立製作所 ITプラットフォーム事業本部

1. 日立ディスクアレイシステムに対するセキュリティホール対策のお知らせ

TLSプロトコルに関する脆弱性が公開されました(CVE-2015-4000)

[新規情報]

  1. CVE-2015-4000:TLSプロトコルで使われている暗号アルゴリズム「Diffie-Hellman(DH)鍵交換」に脆弱性が発見されました。暗号強度が弱い輸出グレード暗号に格下げさせられ、通信内容について情報漏えいや改ざんの恐れがあります。

弊社ストレージ装置における、今回の脆弱性の影響を以下の表に示します。

ストレージ装置 影響する脆弱性
Hitachi Universal Storage Platform V
Hitachi Universal Storage Platform H24000
Hitachi Universal Storage Platform VM
Hitachi Universal Storage Platform H20000
 CVE-2015-4000

SVPは直接ストレージ機能には係わりませんので、万一攻撃者から攻撃された場合であってもストレージとしてのデータの内容およびRead/Write機能に支障はありません。また日立ディスクアレイシステムに蓄積されているデータを読み取られることもありません。
しかしながら万一SVPが攻撃された場合、装置の構成変更設定や保守作業に支障をきたす等の可能性があります。
そのため今般、対象となる製品に対しまして、予防処置をさせていただきます。

2.今回のセキュリティホールの特徴

Storage NavigatorでSSL暗号化通信を実施している場合、中間者攻撃により暗号強度が弱い輸出グレード暗号に格下げされ、暗号通信の一部が第三者に漏えいする可能性があります。

3. 対象製品

Hitachi Universal Storage Platform V、Hitachi Universal Storage Platform H24000、
Hitachi Universal Storage Platform VM、Hitachi Universal Storage Platform H20000、

 本セキュリティホールに関する情報

本件に関する問い合せ窓口

*1
弊社では、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、当ホームページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
*2
当ホームページに記載されている製品には、他社開発製品が含まれております。これらのセキュリティ情報については他社から提供、または公開された情報を基にしております。弊社では、情報の正確性および完全性について注意を払っておりますが、開発元の状況変化に伴ない、当ホームページの記載内容に変更が生じることがあります。
*3
当ホームページはセキュリティ情報の提供を目的としたものであり、法律上の責任を負うものではありません。お客様が独自に行なった(あるいは行なわなかった)セキュリティ対応その他のご行為の結果につきまして、弊社では責任を負いかねます。