Hitachi Global

HIRT-PUB14005：日立製品における OpenSSL 情報漏えいを許してしまう脆弱性(CVE-2014-0160) への対応について

(JVNVU#94401838, JVNDB-2014-001920, CVE-2014-0160)

更新日：2014年05月12日

1. 概要

OpenSSL には、RFC6520 に規定されている TLS/DTLS 用 Heartbeat 拡張の実装に起因する情報漏えいを許してしまう脆弱性 (JVNVU#94401838, JVNDB-2014-001920, CVE-2014-0160) が存在します。

CVSSによる深刻度

基本値：5.0
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：低
  攻撃前の認証要否：不要
  機密性への影響(C)：部分的
  完全性への影響(I)：なし
  可用性への影響(A)：なし

現状値：4.1 (2014年4月16日時点)
  攻撃される可能性：攻撃可能
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

CVSS:2.0 AV:N/AC:L/Au:N/C:P/I:N/A:N/E:F/RL:OF/RC:C

2. 影響を受けるシステム

+ OpenSSL 1.0.1 ～ 1.0.1f
+ OpenSSL 1.0.2-beta ～ 1.0.2-beta1
+ コンポーネントとして OpenSSL を使用している日立製品

3. 想定される影響

脆弱性を悪用された場合、SSL サーバ証明書の秘密鍵、Cookie など、メモリに格納されている重要なデータを読み出されてしまう可能性があります。

図1：SSL サーバのメモリに格納されていたデータの一部が参照可能となってしまった事例

4. 対策

(1) バージョンアップあるいは、対策版の適用
「5. 製品対応状況」を確認し、各製品から発信されている注意事項に沿って、対処してください。

(2) (推奨) SSLサーバ証明書の再発行と現在使用しているSSLサーバ証明書の失効
脆弱性を悪用された場合、SSL サーバ証明書の秘密鍵が読み出されてしまっている可能性があります。 Web サイトの提供形態によっては、現在使用しているSSLサーバ証明書の失効させ、SSL サーバ証明書の再発行を推奨します。

(3) (推奨) パスワードの変更
脆弱性を悪用された場合、Web サイトを利用しているユーザのパスワードが読み出されてしまっている可能性があります。パスワード変更の実施を推奨します。

(4) (推奨) IDS/IPS、ネットワークパケット監視の導入/強化
アクセスログ、システムログに攻撃か否かを判断するための痕跡が残りませんので、検知などの対処が必要な場合には、IDS/IPSやネットワークパケット監視の導入/強化を推奨します。

5. 製品対応状況

日立製品ならびに、日立が提供する他社品(*印)の対応状況は、次の通りです。

2014年5月9日発行

+ 制御サーバ、コントローラ：RS90 シリーズ、S10 シリーズ、HISEC シリーズ
+ 産業用コンピュータ：HF-W シリーズ
+ 産業制御プラットフォーム：HIDIC-AZ シリーズ、PS21 シリーズ
+ DCS プラットフォーム：HIACS シリーズ

　影響ありません。

2014年4月25日発行

+ 日立金属 XLGMC/XGMC/GMC/GMX/eWAVE/BMC/GMAシリーズ

　影響ありません。

HCVU000000011: OpenSSLに関する脆弱性

+ ARCserve Replication r16.5以降 (16.5, 16.5SP1, 16.5SP2) (*)
+ ARCserve D2D r16.5以降 (16.5, 16.5 update1) (*)
+ ARCserve Backup r15/r16/r16.5 (*)
+ ARCserve Replication r15/r16 (*)
+ ARCserve D2D for Windows r15/r16 (*)

HWS14-003: OpenSSLの脆弱性(CVE-2014-0160)による影響について

+ 無停電電源装置（UPS）管理ソフト、オプション (*)

サーバ/クライアント製品：OpenSSLの脆弱性(CVE-2014-0160)による影響について

2014年4月22日発行

+ Hitachi IT Operations
+ HP-UX (*)
+ 日立から提供しているHP社ミドルウェア製品 (*)

HWS14-003: OpenSSLの脆弱性(CVE-2014-0160)による影響について

+ AIX (*)

OpenSSLの脆弱性(CVE-2014-0160)によるAIXへの影響について

2014年4月21日発行

+ Virtage
+ Virtage Navigator
+ HVM管理コマンド(HvmSh)
+ ロードバランサ BIG-IP1500、AX2000、AX2000HL、AX2500 (*)

サーバ/クライアント製品：OpenSSLの脆弱性(CVE-2014-0160)による影響について

+ 日立アドバンストサーバHA8000シリーズ

OpenSSLの脆弱性(CVE-2014-0160)によるHA8000シリーズへの影響について

+ BladeSymphony BS2000シリーズ

OpenSSLの脆弱性(CVE-2014-0160)によるBS2000シリーズへの影響について

+ BladeSymphony BS500シリーズ

OpenSSLの脆弱性(CVE-2014-0160)によるBS500シリーズへの影響について

2014年4月18日発行

+ JP1/VERITAS Backup Exec
+ JP1/秘文
+ 秘文AE Full Disk Encryption
+ CA ControlMinder (旧名称: CA Access Control) (*)
+ FireWall-1 (*)
+ Symantec Protection Engine for Cloud Services (*)

HWS14-003: OpenSSLの脆弱性(CVE-2014-0160)による影響について

+ JP1/VERITAS NetBackup

OpenSSLの脆弱性(CVE-2014-0160)によるJP1/VERITAS NetBackupへの影響について

+ ALC NetAcademy2

OpenSSLの脆弱性（Heartbleed）について

2014年4月17日発行

+ ルータ・スイッチ GS/GRシリーズ

　GS/GRシリーズには、影響ありません。
[GS3000/GS4000]
[GR2000/GR4000]

+ 日立金属 Apresia シリーズ

　Apresia シリーズには、影響ありません。

HCVU000000011: OpenSSLに関する脆弱性

+ (VSP) Hitachi Virtual Storage Platform
+ (HUS VM) Hitachi Unified Storage VM