HIRT-PUB14010：日立製品における OpenSSL の脆弱性(CVE-2014-0224 他) への対応について：Hitachi Incident Response Team：日立

更新日：2014年06月20日

1. 概要

OpenSSL には、複数の脆弱性が存在します。

CVE-2014-0224 (中間者攻撃により情報漏えいや改ざんを許してしまう脆弱性)

基本値：4.0
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：高
  攻撃前の認証要否：不要
  機密性への影響(C)：部分的
  完全性への影響(I)：部分的
  可用性への影響(A)：なし

現状値：3.1 (2014年6月6日時点)
  攻撃される可能性：実証可能
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

CVSS:2.0 AV:N/AC:H/Au:N/C:P/I:P/A:N/E:P/RL:OF/RC:C

CVE-2014-0221 (不正な DTLS ハンドシェイクによりサービス不能攻撃を許してしまう脆弱性)

基本値：4.3
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：中
  攻撃前の認証要否：不要
  機密性への影響(C)：なし
  完全性への影響(I)：なし
  可用性への影響(A)：部分的

現状値：3.7 (2014年6月6日時点)
  攻撃される可能性：未評価
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

CVSS:2.0 AV:N/AC:M/Au:N/C:N/I:N/A:P/E:ND/RL:OF/RC:C

CVE-2014-0195 (不正な DTLS 分割メッセージにより任意のコードを許してしまう脆弱性)

基本値：6.8
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：中
  攻撃前の認証要否：不要
  機密性への影響(C)：部分的
  完全性への影響(I)：部分的
  可用性への影響(A)：部分的

現状値：5.9 (2014年6月6日時点)
  攻撃される可能性：未評価
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

CVSS:2.0 AV:N/AC:M/Au:N/C:P/I:P/A:P/E:ND/RL:OF/RC:C

CVE-2014-0198 (SSL Mode Release Buffers 処理の NULL ポインタ参照によりサービス不能攻撃を許してしまう脆弱性)

基本値：4.3
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：中
  攻撃前の認証要否：不要
  機密性への影響(C)：なし
  完全性への影響(I)：なし
  可用性への影響(A)：部分的

現状値：3.7 (2014年6月6日時点)
  攻撃される可能性：未評価
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

CVSS:2.0 AV:N/AC:M/Au:N/C:N/I:N/A:P/E:ND/RL:OF/RC:C

CVE-2010-5298 (SSL Mode Release Buffers 処理の競合によりサービス不能攻撃を許してしまう脆弱性)

基本値：4.0
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：高
  攻撃前の認証要否：不要
  機密性への影響(C)：なし
  完全性への影響(I)：部分的
  可用性への影響(A)：部分的

現状値：3.5 (2014年6月6日時点)
  攻撃される可能性：未評価
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

CVSS:2.0 AV:N/AC:H/Au:N/C:N/I:P/A:P/E:ND/RL:OF/RC:C

CVE-2014-3470 (匿名 ECDH によりサービス不能攻撃を許してしまう脆弱性)

基本値：4.3
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：中
  攻撃前の認証要否：不要
  機密性への影響(C)：なし
  完全性への影響(I)：なし
  可用性への影響(A)：部分的

現状値：3.7 (2014年6月6日時点)
  攻撃される可能性：未評価
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

CVSS:2.0 AV:N/AC:M/Au:N/C:N/I:N/A:P/E:ND/RL:OF/RC:C

2. 影響を受けるシステム

+ OpenSSL 0.9.8 ～ 0.9.8y
+ OpenSSL 1.0.0 ～ 1.0.0l
+ OpenSSL 1.0.1 ～ 1.0.1g
+ コンポーネントとして OpenSSL を使用している製品

ページの先頭へ

3. 想定される影響

脆弱性を悪用された場合、任意のコード実行、サービス不能攻撃、情報漏えいなどの影響を受ける可能性があります。

4. 対策

(1) バージョンアップあるいは、対策版の適用
「5. 製品対応状況」を確認し、各製品から発信されている注意事項に沿って、対処してください。

5. 製品対応状況

日立製品ならびに、日立が提供する他社品(*印)の対応状況は、次の通りです。

2014年6月18日発行

+ JP1/VERITAS NetBackup
+ JP1/VERITAS Backup Exec
+ Symantec Protection Engine for Cloud Services (*)
+ ARCserve (*)
+ AIX (*)
+ Red Hat Enterprise Linux (*)
+ VMware (*)
+ Oracle Directory Services Plus (*)
+ HP-UX 11i v1/v2/v3 (*)
+ Windowsクライアント (*)
+ Windowsサーバ (*)
+ 日立で取り扱っているOracle製品 (*)
+ Hitachi Virtual Storage Platform
+ Hitachi Unified Storage VM
+ Hitachi Virtual Storage Platform G1000

HWS14-006: OpenSSLの脆弱性(CVE-2014-0224、他)による影響について

2014年6月17日発行

+ BladeSymphony BS2000シリーズ

OpenSSLの脆弱性(CVE-2014-0224他)によるBS2000シリーズへの影響について

+ BladeSymphony BS1000シリーズ

OpenSSLの脆弱性(CVE-2014-0224他)によるBS1000シリーズへの影響について

+ BladeSymphony BS500シリーズ

OpenSSLの脆弱性(CVE-2014-0224他)によるBS500シリーズへの影響について

+ BladeSymphony BS320シリーズ

OpenSSLの脆弱性(CVE-2014-0224他)によるBS320シリーズへの影響について

+ 日立アドバンスドサーバHA8000シリーズ

OpenSSLの脆弱性(CVE-2014-0224他)によるHA8000シリーズへの影響について

+ 日立アドバンスドサーバHA8500シリーズ
+ クライアントブレード FLORA bd100／bd500シリーズ
+ シンクライアント FLORA Se210／Se330シリーズ
+ クライアント統合用管理ソフトウェア(Hitachi bd Link)
+ テープライブラリ装置 L1/8A, Lx/24, Lx/30A, Lx/48, L20/300, L18/500, L56/3000, L64/8500
+ エントリークラス・ディスクアレイ装置
+ 無停電電源装置（UPS）管理ソフト、オプション (*)
PowerChute Business Edition, PowerChute Network Shutdown, PowerMonitor H,
PowerMonitor H for Network, Network Management Card, SNMPカード
+ ロードバランサ AX2000, AX2000HL, AX2500, BIG-IP1500 (*)
+ ディスプレイ/キーボードユニット、コンソール切替ユニット
+ Hitachi Server Navigator
+ Update Manager, Log Collect, Log Monitor, Alive Monitor, RAID Navigator
+ Hitachi Server Navigator Installation Assistant