OpenSSLの脆弱性(CVE-2014-0224他)によるBS2000シリーズへの影響について

2014年09月12日更新

脆弱性の内容
対象製品
対策方法
更新履歴

OpenSSLに関する脆弱性が存在します。

脆弱性の内容

現象

OpenSSLには、初期SSL/TLSハンドシェイクにおけるChange Cipher Specメッセージの処理に脆弱性(CVE-2014-0224)が存在します。これにより対象製品とのSSL/TLS通信が、中間者攻撃(man-in-the-middle attack)によって解読されたり、改ざんされたりする可能性があります。
また、この他OpenSSLが持つ以下の脆弱性に該当します。

OpenSSL Security Advisory [05 Jun 2014] (Txt形式、新規ウィンドウを開く)

発生条件

下記「対象製品」に記載された製品を使用している場合。

回避方法

マネジメントモジュール、Virtageの管理ネットワークを外部ネットワークから遮断するようにお願いします。

対象製品

OpenSSLの脆弱性　対象製品一覧
製品名	形名	バージョン	CVE-2014-0224	CVE-2014-0221	CVE-2014-0195	CVE-2014-0198	CVE-2010-5298	CVE-2014-3470
BS2000標準サーバブレードx3モデル BS2000標準サーバブレードx4モデル	GVE553-******* GVE554-*******	BMC 07-01～07-14	●	□	□	□	□	□
BS2000高性能サーバブレードx2モデル	GVE57A2-****** GZE57E2-******	BMC 08-01～08-09	●	□	□	□	□	□
BS2000標準サーバブレード x1モデル, x2モデル, x3モデル, x4モデル	GVE551-******* GVE552-******* GVE553-******* GVE554-*******	Virtage ～59-70	●	□	□	●	●	●
BS2000高性能サーバブレード x1モデル, x2モデル	GVE57A1-****** GZE57E1-****** GVE57A2-****** GZE57E2-******	Virtage ～79-70	●	□	□	●	●	●
Virtage Navigator	－	V03-04	●	□	□	□	□	□
HVM管理コマンド(HvmSh)	－	8.0	●	□	□	□	□	□
BS2000マネジメントモジュール	GV-BE2MNG1N1*	マネジメントモジュールファームウェア全バージョン	●	□	□	□	□	□
BS2000 I/Oスロット拡張装置	GV0EDW11-224N11* GZ0EDW11-224N11*	全バージョン	●	□	□	□	□	□

●：該当します　／　□：該当しません　／　△：調査中です

対策方法

８月末より対策版製品適用済みです。
以下のダウンロードサイトに記載があるものは、対策版をダウンロードサイトから入手できます。
適用は最新版を次のダウンロードサイトから入手して実施ください。

http://www.hitachi.co.jp/cgi-bin/products/it/server/bladesymphony/dlserch_rev1/dlserch.cgi (新規ウィンドウを開く)

その他の対策版の提供については、製品サポート窓口にお問合せください。

対策版製品一覧
製品名	形名	対策バージョン	ダウンロードサイト
BS2000標準サーバブレードx3モデル BS2000標準サーバブレードx4モデル	GVE553-******* GVE554-*******	BMC FW 07-15	(製品サポート窓口にお問合せ下さい)
BS2000高性能サーバブレードx2モデル	GVE57A2-****** GZE57E2-******	BMC FW 08-10	(製品サポート窓口にお問合せ下さい)
BS2000標準サーバブレード x1モデル, x2モデル, x3モデル, x4モデル	GVE551-******* GVE552-******* GVE553-******* GVE554-*******	Virtage 59-71	BS2000標準ブレード Virtageファームウェア (新規ウィンドウを開く)
BS2000高性能サーバブレード x1モデル, x2モデル	GVE57A1-****** GZE57E1-****** GVE57A2-****** GZE57E2-******	Virtage 79-71	BS2000高性能ブレード Virtageファームウェア (新規ウィンドウを開く)
Virtage Navigator		V03-04/A	Virtage Navigator ユーティリティ (新規ウィンドウを開く)
HVM管理コマンド(HvmSh)		8.2	HvmSh (Virtage用ユーティリティ、Windows版)ユーティリティ (新規ウィンドウを開く)
BS2000マネジメントモジュール	GV-BE2MNG1N1*	マネジメントモジュールファームウェア A0381	(製品サポート窓口にお問合せ下さい)
BS2000 I/Oスロット拡張装置	GV0EDW11-224N11* GZ0EDW11-224N11*	I/Oスロット拡張装置ファームウェア対策検討中*1	(製品サポート窓口にお問合せ下さい)

*1: E-mail通報機能をご使用の場合のみ該当しますが、E-mailサーバを対策版のOpenSSLに変更することで対応をお願い致します。
E-mailサーバの対策ができない場合につきましては、製品サポート窓口にお問合せ下さい。

問合せ先

各製品のサポート窓口にお問合せください。

更新履歴

2014年09月12日：「対策方法」を更新しました。

2014年06月25日： Virtage Navigatorのバージョン表記を修正しました。

2014年06月17日：このセキュリティ情報ページを新規作成および発信しました。

弊社では、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、当ホームページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
当ホームページに記載されている製品には、他社開発製品が含まれております。これらのセキュリティ情報については他社から提供、または公開された情報を基にしております。弊社では、情報の正確性および完全性について注意を払っておりますが、開発元の状況変化に伴い、当ホームページの記載内容に変更が生じることがあります。
当ホームページはセキュリティ情報の提供を目的としたものであり、法律上の責任を負うものではありません。お客様が独自に行なった(あるいは行なわなかった)セキュリティ対応その他のご行為の結果につきまして、弊社では責任を負いかねます。
当ホームページから他サイトのページへのリンクアドレスは情報発信時のものです。他サイトでの変更などを発見した場合には、リンク切れ等にならないように努力はいたしますが、永続的にリンク先を保証するものではありません。

ページの先頭へ