セキュリティ情報（2015年10月23日）

日立仮想ファイルプラットフォーム製品におけるセキュリティホール（SSL 3.0）対策について

2015年10月23日
（株）日立製作所 ITプラットフォーム事業本部

Secure Socket Layer Version 3(以下SSL 3.0)に対して、以下に示すセキュリティホールが公開されました。

SSL 3.0で使用されるCBC暗号アルゴリズムに問題があり、情報が漏洩する可能性があります。この問題は、別名 POODLE (Padding Oracle On Downgraded Legacy Encryption) 問題とも呼ばれています。
（CVE-2014-3566）

日立仮想ファイルプラットフォーム製品における、上記１．の脆弱性の影響は下記の通りです。

弊社ストレージ装置における、今回の脆弱性の影響を以下に示します。

ストレージ装置	影響する脆弱性
Hitachi Essential NAS Platform Hitachi Virtual File Platform Hitachi Data Ingestor	CVE-2014-3566

今回の脆弱性に対策を適用したソフトウェアをリリースいたします。ソフトウェアを対策済みバージョンへアップグレードしていただけますようお願いいたします。なお、対策済みバージョンの提供は以下の通りです。これ以外のバージョン、ストレージ装置についての提供に関してはお問い合わせください。

ストレージ装置	対策済みバージョン	提供日
Hitachi Essential NAS Platform	06-03-00-32-00	2015年4月
Hitachi Virtual File Platform Hitachi Data Ingestor	4.2.3-13	2014年12月
	5.0.0-03	2015年1月
	5.0.1-01	2014年11月
	5.0.2-01	2014年11月
	5.1.0-00以降	2014年11月

POODLE 問題として報告された脆弱性 (CVE-2014-3566) は、SSL 3.0 プロトコル自体に存在している脆弱性で、特定の製品の実装上の脆弱性ではありません。

弊社ストレージ装置において、今回の脆弱性の影響を受けるバージョンを以下の表に示します。

ストレージ装置	対象バージョン
Hitachi Essential NAS Platform	06-03-00-32-00未満の全てのバージョン
Hitachi Virtual File Platform Hitachi Data Ingestor	5.1.0-00未満の全てのバージョン

本件に関する問い合せ窓口

*1: 弊社では、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、当ホームページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
*2: 当ホームページに記載されている製品には、他社開発製品が含まれております。これらのセキュリティ情報については他社から提供、または公開された情報を基にしております。弊社では、情報の正確性および完全性について注意を払っておりますが、開発元の状況変化に伴ない、当ホームページの記載内容に変更が生じることがあります。
*3: 当ホームページはセキュリティ情報の提供を目的としたものであり、法律上の責任を負うものではありません。お客様が独自に行なった（あるいは行なわなかった）セキュリティ対応その他のご行為の結果につきまして、弊社では責任を負いかねます。