HIRT-PUB14010：日立製品における OpenSSL の脆弱性(CVE-2014-0224 他) への対応について

更新日：2014年06月20日

1. 概要

OpenSSL には、複数の脆弱性が存在します。

CVE-2014-0224 (中間者攻撃により情報漏えいや改ざんを許してしまう脆弱性)

 基本値：4.0
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：高
  攻撃前の認証要否：不要
  機密性への影響(C)：部分的
  完全性への影響(I)：部分的
  可用性への影響(A)：なし

 現状値：3.1 (2014年6月6日時点)
  攻撃される可能性：実証可能
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

• CVSS:2.0 AV:N/AC:H/Au:N/C:P/I:P/A:N/E:P/RL:OF/RC:C

CVE-2014-0221 (不正な DTLS ハンドシェイクによりサービス不能攻撃を許してしまう脆弱性)

 基本値：4.3
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：中
  攻撃前の認証要否：不要
  機密性への影響(C)：なし
  完全性への影響(I)：なし
  可用性への影響(A)：部分的

 現状値：3.7 (2014年6月6日時点)
  攻撃される可能性：未評価
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

• CVSS:2.0 AV:N/AC:M/Au:N/C:N/I:N/A:P/E:ND/RL:OF/RC:C

CVE-2014-0195 (不正な DTLS 分割メッセージにより任意のコードを許してしまう脆弱性)

 基本値：6.8
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：中
  攻撃前の認証要否：不要
  機密性への影響(C)：部分的
  完全性への影響(I)：部分的
  可用性への影響(A)：部分的

 現状値：5.9 (2014年6月6日時点)
  攻撃される可能性：未評価
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

• CVSS:2.0 AV:N/AC:M/Au:N/C:P/I:P/A:P/E:ND/RL:OF/RC:C

CVE-2014-0198 (SSL Mode Release Buffers 処理の NULL ポインタ参照によりサービス不能攻撃を許してしまう脆弱性)

 基本値：4.3
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：中
  攻撃前の認証要否：不要
  機密性への影響(C)：なし
  完全性への影響(I)：なし
  可用性への影響(A)：部分的

 現状値：3.7 (2014年6月6日時点)
  攻撃される可能性：未評価
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

• CVSS:2.0 AV:N/AC:M/Au:N/C:N/I:N/A:P/E:ND/RL:OF/RC:C

CVE-2010-5298 (SSL Mode Release Buffers 処理の競合によりサービス不能攻撃を許してしまう脆弱性)

 基本値：4.0
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：高
  攻撃前の認証要否：不要
  機密性への影響(C)：なし
  完全性への影響(I)：部分的
  可用性への影響(A)：部分的

 現状値：3.5 (2014年6月6日時点)
  攻撃される可能性：未評価
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

• CVSS:2.0 AV:N/AC:H/Au:N/C:N/I:P/A:P/E:ND/RL:OF/RC:C

CVE-2014-3470 (匿名 ECDH によりサービス不能攻撃を許してしまう脆弱性)

 基本値：4.3
  攻撃元区分：ネットワーク
  攻撃条件の複雑さ：中
  攻撃前の認証要否：不要
  機密性への影響(C)：なし
  完全性への影響(I)：なし
  可用性への影響(A)：部分的

 現状値：3.7 (2014年6月6日時点)
  攻撃される可能性：未評価
  利用可能な対策のレベル：正式対策
  脆弱性情報の信頼性：開発者が情報を確認済

• CVSS:2.0 AV:N/AC:M/Au:N/C:N/I:N/A:P/E:ND/RL:OF/RC:C

2. 影響を受けるシステム

+ OpenSSL 0.9.8 〜 0.9.8y
+ OpenSSL 1.0.0 〜 1.0.0l
+ OpenSSL 1.0.1 〜 1.0.1g
+ コンポーネントとして OpenSSL を使用している製品

• ページの先頭へ

3. 想定される影響

脆弱性を悪用された場合、任意のコード実行、サービス不能攻撃、情報漏えいなどの影響を受ける可能性があります。

4. 対策

(1) バージョンアップあるいは、対策版の適用
「5. 製品対応状況」を確認し、各製品から発信されている注意事項に沿って、対処してください。

5. 製品対応状況

日立製品ならびに、日立が提供する他社品(*印)の対応状況は、次の通りです。

2014年6月18日発行

+ JP1/VERITAS NetBackup
+ JP1/VERITAS Backup Exec
+ Symantec Protection Engine for Cloud Services (*)
+ ARCserve (*)
+ AIX (*)
+ Red Hat Enterprise Linux (*)
+ VMware (*)
+ Oracle Directory Services Plus (*)
+ HP-UX 11i v1/v2/v3 (*)
+ Windowsクライアント (*)
+ Windowsサーバ (*)
+ 日立で取り扱っているOracle製品 (*)
+ Hitachi Virtual Storage Platform
+ Hitachi Unified Storage VM
+ Hitachi Virtual Storage Platform G1000

• HWS14-006: OpenSSLの脆弱性(CVE-2014-0224、他)による影響について

2014年6月17日発行

+ BladeSymphony BS2000シリーズ

• OpenSSLの脆弱性(CVE-2014-0224他)によるBS2000シリーズへの影響について

---

+ BladeSymphony BS1000シリーズ

• OpenSSLの脆弱性(CVE-2014-0224他)によるBS1000シリーズへの影響について

---

+ BladeSymphony BS500シリーズ

• OpenSSLの脆弱性(CVE-2014-0224他)によるBS500シリーズへの影響について

---

+ BladeSymphony BS320シリーズ

• OpenSSLの脆弱性(CVE-2014-0224他)によるBS320シリーズへの影響について

---

+ 日立アドバンスドサーバHA8000シリーズ

• OpenSSLの脆弱性(CVE-2014-0224他)によるHA8000シリーズへの影響について

---

+ 日立アドバンスドサーバHA8500シリーズ
+ クライアントブレード FLORA bd100／bd500シリーズ
+ シンクライアント FLORA Se210／Se330シリーズ
+ クライアント統合用管理ソフトウェア(Hitachi bd Link)
+ テープライブラリ装置 L1/8A, Lx/24, Lx/30A, Lx/48, L20/300, L18/500, L56/3000, L64/8500
+ エントリークラス・ディスクアレイ装置
+ 無停電電源装置（UPS）管理ソフト、オプション (*)
  PowerChute Business Edition, PowerChute Network Shutdown, PowerMonitor H,
  PowerMonitor H for Network, Network Management Card, SNMPカード
+ ロードバランサ AX2000, AX2000HL, AX2500, BIG-IP1500 (*)
+ ディスプレイ/キーボードユニット、コンソール切替ユニット
+ Hitachi Server Navigator
+ Update Manager, Log Collect, Log Monitor, Alive Monitor, RAID Navigator
+ Hitachi Server Navigator Installation Assistant

• OpenSSLの脆弱性(CVE-2014-0224他)による影響について

---

+ アラクサラネットワークス AX シリーズ

• AX-VU2014-02「OpenSSL脆弱性（JVN#61247051）」に関するご報告

2014年6月13日発行

+ 日立金属 Apresia シリーズ
+ 日立金属 XLGMC/XGMC/GMC/GMX/eWAVE/BMC/GMAシリーズ

• OpenSSLのChangeCipherSpec処理の脆弱性

2014年6月6日発行

+ Juniper製品 (*)

• OpenSSLの脆弱性情報(JSA10629)の該当機器・非該当機器について

6. 関連情報

6.1 脆弱性識別

• CVE-2014-0224 (中間者攻撃により情報漏えいや改ざんを許してしまう脆弱性)
  
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
  • JVNDB-2014-000048
    http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000048.html
  • JVN#61247051
    http://jvn.jp/jp/JVN61247051/index.html
• CVE-2014-0221 (不正な DTLS ハンドシェイクによりサービス不能攻撃を許してしまう脆弱性)
  
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221
• CVE-2014-0195 (不正な DTLS 分割メッセージにより任意のコードを許してしまう脆弱性)
  
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195
• CVE-2014-0198 (SSL Mode Release Buffers 処理の NULL ポインタ参照によりサービス不能攻撃を許してしまう脆弱性)
  
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0198
• CVE-2010-5298 (SSL Mode Release Buffers 処理の競合によりサービス不能攻撃を許してしまう脆弱性)
  
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-5298
  • JVNDB-2010-005667
    http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-005667.html
• CVE-2014-3470 (匿名 ECDH によりサービス不能攻撃を許してしまう脆弱性)
  
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470

6.2 参考情報

• IPA
  「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について(JVN#61247051)
  http://www.ipa.go.jp/security/ciadr/vul/20140606-jvn.html

7. 更新履歴

2014年06月20日

• 5. 製品対応状況：2014年6月13日を追記、6月17日と18日を改訂しました。

2014年06月19日

• このページを新規作成および公開しました。

---

担当：寺田、大西／HIRT