製品使用上の注意事項

2016/02/08 更新

１．概要

　インターネット通信の暗号化に使われるTLS/SSLプロトコルに1990年代の米暗号輸出規制に起因する脆弱性(弱い暗号が強制される問題)が発覚し、FREAKとして報告されています。
　なお、攻撃のためには、DNSサーバの乗っ取りや無線アクセスポイントの偽装などによる、通信経路への第三者の介入が可能なことが前提となります。このため、信頼できるネットワーク上での製品のご使用をお願いします。


関連情報
JVNVU#99125992
SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)
http://jvn.jp/vu/JVNVU99125992/


２．FREAK脆弱性の回避策について

　FREAK脆弱性を利用した攻撃をするためには、輸出グレードの RSA 鍵(RSA-EXPORT系) の暗号が有効になっている必要があります。このため、利用可能な暗号リストから、RSA-EXPORT系暗号を削除または無効化することで攻撃を回避することができます。
　現在、デフォルトでそれらRSA-EXPORT系の暗号が有効になっている製品、および上記回避策が適用できない製品は次のとおりです。確認でき次第、随時情報を改訂します。

表１．対象製品一覧

項番	製品名	対応	備考
1	uCosminexus Application Server	【09-50以前】 内訳製品Cosminexus Developer's Kit for Java (TM)のTLS/SSL通信で使用可能とする暗号種別にRSA-EXPORT系以外の暗号種別を指定してください。 【08-70以前】 内訳製品Hitachi Web ServerのSSL通信で使用可能とする暗号種別に、RSA-EXPORT系以外の暗号種別を指定してください。 詳細は次の弊社ソフトウェア製品セキュリティ情報をご参照ください。 http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/HS15-018/index.htmll	2015/03/20：一覧追加 2015/05/08：更新
2	Hitachi Web Server	【04-20以前】 Hitachi Web ServerのSSL通信で使用可能とする暗号種別に、RSA-EXPORT系以外の暗号種別を指定してください。 詳細は次の弊社ソフトウェア製品セキュリティ情報をご参照ください。 http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/HS15-018/index.html	2015/03/20：一覧追加 2015/04/28：更新
3	JP1/Automatic Job Management System 3 - Web Operation Assistant	回避方法については、製品サポート窓口にお問い合わせください。	2015/03/20：一覧追加
4	JP1/Cm2/Network Node Manager i	バージョン 09-50-01 〜 09-50-02 が対象です。 該当バージョンをお使いの場合は、09-50 の最新パッチを適用してください。	2015/03/20：一覧追加
5	テープライブラリ装置 L30A/L300	外部ネットワークから遮断してください。	2015/03/20：一覧追加
6	ロードバランサ AX2000/AX2000HL/ AX2500EL130 BIG-IP1500	回避方法については、製品サポート窓口にお問い合わせください。	2015/03/20：一覧追加
7	BS320 サーバブレードL4モデル (ロードバランサブレード)	回避方法については、製品サポート窓口にお問い合わせください。	2015/03/20：一覧追加
8	BladeSymphony BS2500シリーズ 1/10Gb LANスイッチモジュール	VMready機能(VMware連携機能)を有効化し、かつVMware HostのVersionが5.5より前のVersion の場合が対象です。（VMware 5.5にて対策済） 該当する場合は、次のどちらの対処をお願いします。 ・管理ネットワークを外部ネットワークから遮断する。 ・VMready機能を無効化する。	2015/03/20：一覧追加 2015/04/28：更新
9	Hitachi Virtual File Platform、 Hitachi Data Ingestor	外部ネットワークを介してHitachi Content Platformと連携するシステム構成の場合に脆弱性の影響を受ける恐れがあります。 詳細は製品サポート窓口にお問い合わせください。	2015/04/01：一覧追加
10	HA8000シリーズ RS440xKxK1xLxL1xL2モデル	管理ネットワークを外部ネットワークから遮断してください。	2015/04/09：一覧追加
11	HA8000シリーズ RS440xMモデル	BMCファームウェアバージョン 01.45以前が対象です。 対策版のBMCファームウェアをダウンロードサイトより提供しております。 最新のBMCファームウェアをダウンロードの上、適用をお願いします。 http://www.hitachi.co.jp/Prod/comp/OSD/pc/ha/prod/catalog/index.html ドライバ・ユーティリティダウンロード検索をご参照ください。 カテゴリは、「ファームウェア[システム装置]」をご選択ください。 対策BMCファームウェアバージョン　01.47	2015/04/28：一覧追加 2016/02/08：更新
12	HA8500シリーズ SDE6, c3000/c7000	Onboard Administrator(OA)に接続の管理ネットワークを外部ネットワークから遮断してください。	2015/04/16：一覧追加

３．OpenSSL脆弱性(CVE-2015-0204)の回避策について

　FREAKに関係してOpenSSLの脆弱性(CVE-2015-0204)が公開されています。影響を受ける製品は次のとおりです。
　影響のある製品については、現在調査中のため確認でき次第、随時情報を改訂します。

表２．対象製品一覧

項番	製品名	該非	対応	備考
1	Red　　Hat Enterprise Linux	該当	詳細は次のRed Hat社公開情報をご参照ください。 https://access.redhat.com/security/cve/CVE-2015-0204 上記サイトには対策情報も記載されています。	2015/03/09：一覧追加
2	Hitachi Virtual File Platform、 Hitachi　　Data Ingestor	該当	外部ネットワークを介してHitachi Content Platformと連携するシステム構成の場合に脆弱性の影響を受ける恐れがあります。 詳細は製品サポート窓口にお問い合わせください。	2015/04/01：一覧追加
3	uCosminexus Application Server	該当	詳細は次の弊社ソフトウェア製品セキュリティ情報をご参照ください。 http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/HS15-019/index.html	2015/05/08：一覧追加

４．マイクロソフト セキュリティ情報MS15-031の回避策について

　FREAKに関係してマイクロソフトから脆弱性(CVE-2015-1637)のセキュリティ情報が次のURLで公開されています。
なお、クライアントの回避策としてRSA鍵交換暗号をすべて利用できなくする手順も公開されていますが、回避策を適用するとIEから弊社製品への接続が不可となる可能性があり、回避策は推奨しておりません。

マイクロソフト セキュリティ情報 MS15-031
https://technet.microsoft.com/library/security/MS15-031



５．問い合わせ先

お問い合わせは、各製品のサポート契約をご確認の上、日立ソリューションサポートセンタのサポート窓口にお問い合わせください。