JVN#61247051

OpenSSL における Change Cipher Spec メッセージの処理に脆弱性 (CVE-2014-0224)

OpenSSL Project が提供する OpenSSLには、初期 SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に脆弱性が存在します。

掲記脆弱性に関しまして、お問い合わせの多い製品の影響情報をご案内いたします。
一覧に無いその他の製品につきましては、各製品のページで順次ご案内していきます。

影響

◇ ソフトウェア製品

ブランド	製品	影響	備考
Symfoware	Symfoware Server	有り	詳細は、製品情報ページ「OpenSSLの脆弱性(CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470)」をご確認ください。
Symfoware	Symfoware Analytics Server	有り
FUJITSU Integrated System HA Database Ready SX2		有り	詳細は、製品情報ページ「OpenSSLの脆弱性(CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470)」をご確認ください。
Systemwalker	Systemwalker Runbook Automation	有り	詳細は、製品情報ページ「OpenSSL における Change Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224)」をご確認ください。
	Systemwalker Service Quality Coordinator	有り	詳細は、製品情報ページ「OpenSSL における Change Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224)」をご確認ください。
	Systemwalker Desktop Keeper	有り	詳細は、製品情報ページ「OpenSSL の Change Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224) 」をご確認ください。
	Systemwalker Desktop Patrol	有り	詳細は、製品情報ページ「OpenSSL の Change Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224) 」をご確認ください。
	Systemwalker Centric Manager	有り	V13.5.2 Lite Edition のメール通知機能をご利用の場合に、影響を受ける可能性があります。詳細は、製品情報ページ「OpenSSL における Change Cipher Spec メッセージの処理に脆弱性(JVNDB-2014-000048)」をご確認ください。
Red Hat Enterprise Linux		有り	詳細は、以下のRedHat社の公開情報（英語サイト）をご確認ください。 https://access.redhat.com/errata/RHSA-2014:0624.html https://access.redhat.com/errata/RHSA-2014:0625.html https://access.redhat.com/errata/RHSA-2014:0626.html https://access.redhat.com/errata/RHSA-2014:0627.html
Oracle Solaris		有り	詳細は、以下のOracle社の公開情報をご確認ください。 CVE-2014-0224 Cryptographic Issues vulnerability in OpenSSL https://blogs.oracle.com/sunsecurity/entry/cve_2014_0224_cryptographic_issues1 CVE-2014-0224 Cryptographic Issues vulnerability in WAN Boot https://blogs.oracle.com/sunsecurity/entry/cve_2014_0224_cryptographic_issues
VMware		有り	詳細は、VMware社の公開情報VMware assessment of OpenSSL security vulnerabilities disclosed June 5, 2014 (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298, CVE-2014-3470) (2079783) （英語サイト）、およびVMware Security Advisories VMSA-2014-0006 （英語サイト）をご確認ください。
Symantec Backup Exec 2012		有り	詳細は、製品情報ページ「OpenSSL における Change Cipher Spec メッセージ処理の脆弱性(CVE-2014-0224)」をご確認ください。

※修正など詳細情報は、順次ご提供いたします。

◇ネットワーク製品

IPCOM製品への影響については、「OpenSSL におけるChange Cipher Spec メッセージ処理の脆弱性（CVE-2014-0224）に対するIPCOMへの影響について」をご覧ください。

◇ハードウェア添付のソフトウェア

ブランド	製品	影響	備考
ServerView	ServerView Operations Manager	有り	詳細は、「［重要］OpenSSLにおけるChangeCipherSpecメッセージ処理の脆弱性問題の影響について（お知らせ）」をご確認ください。
	ServerView Agents
	ServerView RAID Manager
	ServerView Storage Manager
	ServerView Deployment Manager

◇ハードウェア製品

ブランド	影響	備考
SPARC M10 XCPファームウェア	有り	本製品のXCP2220版以前をご利用の場合、かつ以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。設定情報やログ情報を外部サーバと通信する場合、かつその通信にHTTPSもしくはSCPのプロトコルを利用している場合、かつその通信先の外部サーバが本脆弱性の影響を受けるOpenSSLを使用している場合。 setldap(8)コマンドでLDAP認証を有効にしている場合、かつ setldap -cを使用し、CA証明書を設定している場合、かつその通信先のLDAPサーバが本脆弱性の影響を受けるOpenSSLを使用している場合。 setldapssl(8)コマンドでLDAP認証を有効にしている場合、かつその通信先のLDAPサーバが本脆弱性の影響を受けるOpenSSLを使用している場合。
SPARC Enterprise XCPファームウェア	有り	本製品のXCP1117版以前をご利用の場合、かつ以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。設定情報やログ情報を外部サーバと通信する場合、かつその通信にHTTPSもしくはSCPのプロトコルを利用している場合、かつその通信先の外部サーバが本脆弱性の影響を受けるOpenSSLを使用している場合。 setldap(8)コマンドでLDAP認証を有効にしている場合、かつ setldap -cを使用し、CA証明書を設定している場合、かつその通信先のLDAPサーバが本脆弱性の影響を受けるOpenSSLを使用している場合。 setldapssl(8)コマンドでLDAP認証を有効にしている場合、かつその通信先のLDAPサーバが本脆弱性の影響を受けるOpenSSLを使用している場合。
ETERNUS CS800	有り	ネットワークのセキュア通信を利用されている場合に影響を受ける可能性があります。
ETERNUS BE50	有り	詳細は、製品ページ「重要なお知らせ：OpenSSL における Change Cipher Spec メッセージ処理の脆弱性(CVE-2014-0224)の影響について」および「OpenSSL における Change Cipher Spec メッセージ処理の脆弱性(CVE-2014-0224)」をご確認ください。

問い合わせ先

各製品の修正情報などの入手は、FUJITSU Managed Infrastructure Service SupportDesk の契約が必要です。
各製品についてのお問い合わせは、お客様専用ホームページ［SupportDesk-Web］からお願いします。

参考情報

US-CERT:VU#978508:2014年6月5日公開
JVN:JVN#61247051:2014年6月6日公開

更新履歴

2014年7月18日：
- ハードウェア添付のソフトウェアに「ServerView Operations Manager」「ServerView Agents」「ServerView RAID Manager」「ServerView Storage Manager」「ServerView Deployment Manager」を追加
2014年7月15日：
- ソフトウェア製品「Symfoware Server」「Symfoware Analytics Server」「FUJITSU Integrated System HA Database Ready SX2」の備考欄に製品詳細ページへのリンクを記載
2014年7月10日：
- ソフトウェア製品に「Backup Exec 2012」を追加
- ハードウェア製品「ETERNUS BE50」の備考欄に製品詳細ページへのリンクを記載
2014年7月7日：
- ソフトウェア製品に「Systemwalker Centric Manager」を追加
2014年7月3日：
- ハードウェア製品に「ETERNUS BE50」を追加
2014年6月30日：
- 「Systemwalker Desktop Keeper」「Systemwalker Desktop Patrol」の備考欄に製品詳細ページへのリンクを記載
- ソフトウェア製品に「VMware」を追加
2014年6月26日：
- ハードウェア製品に「ETERNUS CS800」を追加
2014年6月19日：
- 「FUJITSU Integrated System HA Database Ready SX1」影響を受けないことが判明したため、削除
- ソフトウェア製品に「Symfoware Analytics Server」、「Oracle Solaris」を追加
2014年6月16日：
- ソフトウェア製品に「Red Hat Enterprise Linux」を追加
- ネットワーク製品でIPCOM製品の情報を追加
2014年6月13日：
- 「Systemwalker Runbook Automation」「Systemwalker Service Quality Coordinator」の備考欄に製品詳細ページへのリンクを記載
- ハードウェア製品に「SPARC M10 XCPファームウェア」「SPARC Enterprise XCPファームウェア」を追加
2014年6月12日：
- 「Systemwalker Service Quality Coordinator」の備考欄を更新
2014年6月9日：
- 「Symfoware Server」の備考欄を更新
- 「Systemwalker Service Quality Coordinator」の備考欄を更新
2014年6月6日：
- 新規掲載
- 影響情報に「Systemwalker Service Quality Coordinator」を追加
- 影響情報に「Systemwalker Desktop Keeper」「Systemwalker Desktop Patrol」を追加
- 影響のないことが判明したため、影響情報から「Interstage Service Integrator」を削除