ヘッダをスキップ   製品サポート情報      製品使用上の重要なお知らせ
 
ページタイトル

製品使用上の注意事項

製品使用上の重要な注意事項をお知らせします。
 
【HWS14-006】


2015/04/21 更新

OpenSSLの脆弱性(CVE-2014-0224、他)による影響について

1.概要

オープンソースのSSL/TLS実装ライブラリ「OpenSSL」における複数の脆弱性※1が公開されています。
※1:CVE-2014-0224、CVE-2014-0221、CVE-2014-0195、CVE-2014-0198、CVE-2010-5298、CVE-2014-3470、CVE-2014-0076

参考情報:
OpenSSL Security Advisory [05 Jun 2014]
https://www.openssl.org/news/secadv_20140605.txt
IPA:「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について(JVN#61247051)
http://www.ipa.go.jp/security/ciadr/vul/20140606-jvn.html


2.対象製品

当該脆弱性により、影響を受ける弊社ソフトウェア製品、ストレージ製品、サーバ製品は次のとおりです。

表1.対象製品一覧(ソフトウェア製品)※2
項番 製品名 影響 備考
1 JP1/VERITAS NetBackup 影響あり
(対象の脆弱性:CVE-2014-0224)		 2014/06/18:一覧追加
2014/06/30:詳細情報追加
2014/07/18:詳細情報更新
2 JP1/VERITAS Backup Exec 影響あり
(対象の脆弱性:CVE-2014-0224、他)
 2014/06/18:一覧追加
2014/06/23:詳細情報追加
3 CA Access Control 影響あり
(対象の脆弱性:CVE-2014-0221、他)
 2014/07/18:一覧追加
4 Symantec Protection Engine for Cloud Services 影響なし 2014/06/18:一覧追加
2014/12/03:更新
5 ARCserve 調査中 2014/06/18:一覧追加
6 AIX 影響あり
(対象の脆弱性:CVE-2014-0224、CVE-2014-0221、CVE-2014-0195、CVE-2014-0198、CVE-2014-3470、CVE-2010-5298)
詳細はIBM社公開情報をご参照ください。
AIX OpenSSL Vulnerabilities (Multiple CVEs)
AIX OpenSSL Vulnerability CVE-2010-5298
AIX OpenSSL Vulnerability CVE 2014-0076
上記サイトには対策情報も記載されています。
 2014/06/18:一覧追加
7 Red Hat Enterprise Linux 影響あり
(対象の脆弱性:CVE-2014-0224CVE-2014-0221CVE-2014-0195CVE-2014-0198CVE-2010-5298CVE-2014-3470)
詳細はRed Hat社公開情報をご参照ください。
上記サイトには対策情報も記載されています。
 2014/06/18:一覧追加
8 VMware 影響あり
(対象の脆弱性:CVE-2014-0224、CVE-2014-0198、CVE-2010-5298、CVE-2014-3470)
詳細はVMware社公開情報をご参照ください。
VMware Security Advisories(VMSA-2014-0006)
対象バージョンが記載された表の[Product Version]列に詳細バージョンを記載していない場合は、[Replace with / Apply Patch]列に記載されたバージョンより前のすべてのUpdateが対象です。

関連情報
http://kb.vmware.com/kb/2079783
http://kb.vmware.com/kb/2079789
 2014/06/18:一覧追加
9 Oracle Directory Services Plus 調査中
Directory Service Control Center (DSCC) のWebブラウザインタフェースを利用する際、Oracle WebLogic Web Server Plug-In 1.0 ※3 を適用した Webサーバを経由してアクセスする場合に該当する可能性あり。
※3:Oracle Directory Services Plus に同梱の Oracle WebLogic Server に含まれるプラグイン
 2014/06/18:一覧追加
10 HP-UX 11i v1/v2/v3 影響あり
(対象の脆弱性:CVE-2014-0076、CVE-2014-0195、CVE-2014-0221、CVE-2014-0224、CVE-2014-3470)
詳細はHP社公開情報をご参照ください。
HPSBUX03046 SSRT101590
上記サイトには対策情報も記載されています。
 2014/06/18:一覧追加
11 Windowsクライアント
Windowsサーバ
 影響なし。ただし、Windowsクライアント/Windowsサーバ上にインストールしたソフトウェアによっては、OpenSSLに関連するモジュールを含むものも存在するため、ソフトウェアの導入元にご確認ください。
例:OpenSSLを使うモジュールをIISに追加した場合など
 2014/06/18:一覧追加
12 日立で取り扱っているOracle製品 調査中
 2014/06/18:一覧追加
13 Hitachi Web Server 影響あり
(対象の脆弱性:CVE-2014-0224)		 2015/04/21:一覧追加

※2:上記以外のソフトウェア製品に影響はありません。


ストレージ製品の対象製品一覧は、次のサイトを参照ください。
日立ディスクアレイシステムにおけるSVP セキュリティホールApache/OpenSSLのセキュリティホール対策について


サーバ製品の対象製品一覧は、次のサイトを参照ください。
サーバ・クライアント製品セキュリティ情報
OpenSSLの脆弱性(CVE-2014-0224他)による影響について


3.問い合わせ先

お問い合わせは、各製品のサポート契約をご確認の上、日立ソリューションサポートセンタのサポート窓口にお問い合わせください。
更新履歴:

  • 当ホームページに記載されている製品には、他社開発製品が含まれています。これらの情報については他社から提供、または公開された情報を基にしています。弊社では、情報の正確性および完全性について注意を払っていますが、開発元の状況変化に伴い、当ホームページの記載内容に変更が生じることがあります。
本ページに関する問い合わせ(サポート契約のないお客様はこちらからお問い合わせください。)