2014/08/08 更新
OpenSSLの脆弱性(CVE-2014-0160)によるストレージ製品への影響について
1.現象
OpenSSLのHeartBeatに関する脆弱性CVE-2014-0160により、SVPのメモリ内容が不当に外部から取得できるようになります。
該当製品は次のとおりです。
- (VSP) Hitachi Virtual Storage Platform
- (HUS VM) Hitachi Unified Storage VM
2.発生条件
次を実施している場合、本現象が発生します。
- SVP(Service Processer )にApache2.2.24(OpenSSL:1.0.1e)を適用している
但し、デフォルトではApache2.2.10(OpenSSL0.9.8o)を使用していますので、影響はありません。
お客様要求によりApache2.2.24(OpenSSL:1.0.1e)へのアップデート指示が出されている場合だけ該当となります。
(弊社側よりアップデート指示は出しておりません)
3.回避方法
SVPのApacheをApache2.2.10(OpenSSL0.9.8o)にダウングレードする必要がありますので、日立ソリューションサポートセンタに連絡してください。
4.対象製品
表1.対象製品
製品名 |
形名 |
バージョン |
(VSP) Hitachi Virtual Storage Platform |
A-65AC-CBX H-65AC-CBX |
次のバージョン以降が対象※1
DKCMAIN:70-06-01-00/00
SVP:70-06-01/00-00
OSS:70-06-00/00
|
(HUS VM)
Hitachi Unified Storage VM
|
HT-40SA |
次のバージョン以降が対象※1
DKCMAIN:73-03-01-00/00
SVP:73-03-01/00-00
OSS:73-03-00/00
|
※1:デフォルトのApache2.2.10(OpenSSL0.9.8o)の場合は非該当
5.対策方法
Apache 2.2.24に同梱されているOpanSSLを1.0.1gにアップグレードします。
2014年 5月8日より対策版マイクロのリリースを開始しました。
6.問い合わせ先
各製品のサポート契約をご確認の上、日立ソリューションサポートセンタ のサポート窓口にお問い合わせください。
|