【活用ガイド】

JVNDB-2014-001920

OpenSSL の heartbeat 拡張に情報漏えいの脆弱性

概要

OpenSSL の heartbeat 拡張の実装には、情報漏えいの脆弱性が存在します。TLS や DTLS 通信において OpenSSL のコードを実行しているプロセスのメモリ内容が通信相手に漏えいする可能性があります。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.5 (重要) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 5.0 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
影響を受けるシステム


FreeBSD
  • FreeBSD 10.0
OpenSSL Project
  • OpenSSL 1.0.1 から 1.0.1f まで
サイバートラスト株式会社
  • Asianux Server 4 for x86
  • Asianux Server 4 for x86_64
サイボウズ
  • サイボウズ Office 10.1.0 未満
  • サイボウズ メールワイズ 5.1.4 未満
ヒューレット・パッカード
  • HP TippingPoint NGFW  1.0.1
  • HP TippingPoint NGFW  1.0.2
  • HP TippingPoint NGFW  1.0.3
  • HP TippingPoint NGFW  1.1.0_4127

OpenSSL 1.0.2 については、1.0.2-beta2 で対応予定とのことです。

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HIRT-PUB14005 をご確認ください。
本脆弱性の影響を受ける日本電気製品の詳細については、ベンダ情報 AV14-001 をご確認ください。
本脆弱性の影響を受ける富士通製品の詳細については、ベンダ情報 TA14-098A をご確認ください。

以下の製品も本脆弱性の影響を受けます。詳細につきましては、各ベンダの提供する情報をご確認ください。

オラクル:OpenSSL Security Bug - Heartbleed / CVE-2014-0160
IBM: 1670161、 1672507 および OpenSSL Heartbleed (CVE-2014-0160)
ヒューレット・パッカード:HPSBMU02995 SSRT101499

その他の OpenSSL を使用する製品も影響を受ける可能性があります。
想定される影響

遠隔の第三者によって、秘密鍵などの重要な情報を取得される可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
ベンダ情報

Apache Software Foundation BlackBerry Chef Software, Inc. Cogent Real-Time Systems Inc. F5 Networks FileZilla FreeBSD IBM Kerio Technologies OpenSSL Project Splunk Unisys VMware アライドテレシス インターネットイニシアティブ ウェブセンス エフ・セキュア オラクル サイバートラスト株式会社 サイボウズ シスコシステムズ トレンドマイクロ ヒューレット・パッカード マイクロソフト レッドハット 日本電気
  • NEC製品セキュリティ情報 : AV14-001
日立 富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 境界外読み取り(CWE-125) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-0160
参考情報

  1. JVN : JVNVU#94401838
  2. JVN : JVNTA#99041988
  3. National Vulnerability Database (NVD) : CVE-2014-0160
  4. JPCERT 注意喚起 : JPCERT-AT-2014-0013
  5. 警察庁 @police : OpenSSL の脆弱性を標的としたアクセスの増加について
  6. US-CERT Vulnerability Note : VU#720951
  7. US-CERT Technical Cyber Security Alert : TA14-098A
  8. US-CERT Technical Cyber Security Alert : TA15-119A
  9. CISA Known Exploited Vulnerabilities Catalog : CVE-2014-0160
  10. ICS-CERT ADVISORY : ICSA-14-105-03
  11. ICS-CERT ADVISORY : ICSA-14-105-02
  12. ICS-CERT ADVISORY : ICSA-14-114-01
  13. ICS-CERT ADVISORY : ICSA-14-126-01
  14. ICS-CERT ADVISORY : ICSA-14-128-01
  15. ICS-CERT ADVISORY : ICSA-14-135-02
  16. ICS-CERT ADVISORY : ICSA-14-135-04
  17. ICS-CERT ADVISORY : ICSA-14-135-05
  18. ICS-CERT ADVISORY : ICSA-15-344-01
  19. ICS-CERT ALERT : ICS-ALERT-14-099-01
  20. 関連文書 : The Heartbleed Bug
  21. 関連文書 : IETF RFC6520
  22. 関連文書 : NCSC-FI - FICORA #788210:NCSC-FI Advisory on OpenSSL
  23. 関連文書 : Issue 85:  CVE-2014-0160 fix needed
  24. 関連文書 : ビー・ユー・ジー森精機株式会社 の告知ページ
  25. 関連文書 : 株式会社アラタナ の告知ページ
  26. 関連文書 : MGASA-2014-0165
  27. IPA 緊急対策情報 : OpenSSL の脆弱性対策について(CVE-2014-0160)
更新履歴

  • [2014年04月08日]
      掲載
    [2014年04月09日]
      CWE による脆弱性タイプ一覧:CWE-ID を追加
      参考情報:IPA セキュリティセンター 注意喚起 (OpenSSL の脆弱性対策について(CVE-2014-0160)) を追加
      参考情報:JPCERT 注意喚起 (JPCERT-AT-2014-0013) を追加
    [2014年04月10日]
      参考情報:US-CERT Technical Cyber Security Alert (TA14-098A) を追加
      参考情報:ICS-CERT ALERT (ICS-ALERT-14-099-01) を追加
      参考情報:関連文書 (NCSC-FI - FICORA #788210:NCSC-FI Advisory on OpenSSL) を追加
    [2014年04月11日]
      参考情報:OpenSSL の脆弱性対策について(CVE-2014-0160) を更新
    [2014年04月14日]
      CVSS による深刻度:内容を更新
      参考情報:警察庁 @police (OpenSSL の脆弱性を標的としたアクセスの増加について) を追加
    [2014年04月15日]
      参考情報:ICS-CERT ALERT (ICS-ALERT-14-099-01B) を追加
    [2014年04月23日]
      影響を受けるシステム:ミラクル・リナックス (ミラクル・リナックス株式会社 の告知ページ) の情報を追加
      影響を受けるシステム:FreeBSD (OpenSSL multiple vulnerabilities) の情報を追加
      影響を受けるシステム:オラクル (OpenSSL Security Bug - Heartbleed / CVE-2014-0160) の情報を追加
      影響を受けるシステム:IBM (1670161) の情報を追加
      ベンダ情報:トレンドマイクロ (アラート/アドバイザリ: OpenSSL Heartbleed の脆弱性(CVE-2014-0160)について) を追加
      ベンダ情報:ミラクル・リナックス (ミラクル・リナックス株式会社 の告知ページ) を追加
      ベンダ情報:日立 (HIRT-PUB14005:日立製品における OpenSSL 情報漏えいを許してしまう脆弱性(CVE-2014-0160) への対応について) を追加
      ベンダ情報:マイクロソフト (日本マイクロソフト株式会社 の告知ページ) を追加
      ベンダ情報:インターネットイニシアティブ (株式会社インターネットイニシアティブ の告知ページ) を追加
      ベンダ情報:FreeBSD (OpenSSL multiple vulnerabilities) を追加
      ベンダ情報:オラクル (OpenSSL Security Bug - Heartbleed / CVE-2014-0160) を追加
      ベンダ情報:IBM (1670161) を追加
      ベンダ情報:BlackBerry (BlackBerry response to OpenSSL “Heartbleed” vulnerability) を追加
      ベンダ情報:Splunk (Splunk 6.0.3 addresses two vulnerabilities - April 10, 2014) を追加
    [2014年04月24日]
      影響を受けるシステム:内容を更新
      ベンダ情報:レッドハット (Bug 1084875) を追加
      ベンダ情報:レッドハット (RHSA-2014:0377) を追加
      ベンダ情報:レッドハット (RHSA-2014:0378) を追加
      ベンダ情報:レッドハット (RHSA-2014:0376) を追加
      ベンダ情報:レッドハット (RHSA-2014:0396) を追加
      ベンダ情報:シスコシステムズ (cisco-sa-20140409-heartbleed) を追加
    [2014年04月25日]
      ベンダ情報:富士通 (TA14-098A) を追加
    [2014年05月08日]
      影響を受けるシステム:内容を更新
      ベンダ情報:Apache Software Foundation (Apache Tomcat - Apache Tomcat APR/native Connector vulnerabilities) を追加
      ベンダ情報:Apache Software Foundation (Security/Heartbleed - Tomcat Wiki) を追加
      ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加
      ベンダ情報:エフ・セキュア (FSC-2014-1: Notice on OpenSSL 'Heartbleed' Vulnerability) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU02995 SSRT101499) を追加
      ベンダ情報:日本電気 (AV14-001) を追加
      ベンダ情報:Opscode (Enterprise Chef 11.1.3 Release) を追加
      ベンダ情報:Opscode (Enterprise Chef 1.4.9 Release) を追加
      ベンダ情報:Opscode (Chef Server Heartbleed (CVE-2014-0160) Releases) を追加
      ベンダ情報:Opscode (Chef Server 11.0.12 Release) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-14-105-03) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-14-105-02) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-14-114-01) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-14-126-01) を追加
      参考情報:ICS-CERT ALERT (ICS-ALERT-14-099-01) を更新
      参考情報:関連文書 (Issue 85:  CVE-2014-0160 fix needed) を追加
      参考情報:関連文書 (ビー・ユー・ジー森精機株式会社 の告知ページ) を追加
    [2014年05月12日]
      ベンダ情報:富士通 (Systemwalker Desktop Patrol: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性(CVE-2014-0160) (2014年5月8日)) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-14-128-01) を追加
    [2014年05月20日]
      参考情報:ICS-CERT ADVISORY (ICSA-14-135-02) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-14-135-04) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-14-135-05) を追加
    [2014年05月27日]
      ベンダ情報:Cogent Real-Time Systems Inc. (Release Notes5) を追加
    [2014年05月30日]
      影響を受けるシステム:内容を更新
      ベンダ情報:IBM (OpenSSL Heartbleed (CVE-2014-0160)) を追加
    [2014年06月02日]
      ベンダ情報:オラクル (Oracle Security Alert for CVE-2014-0160) を追加
    [2014年06月09日]
      ベンダ情報:ヒューレット・パッカード (HPSBMU03009 SSRT101520) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03022 SSRT101527) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03024 SSRT101538) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBMU03033 SSRT101550) を追加
      参考情報:関連文書 (株式会社アラタナ の告知ページ) を追加
    [2014年07月14日]
      ベンダ情報:Kerio Technologies (Kerio Control Release History) を追加
      ベンダ情報:Unisys (UIS-2014-1) を追加
      ベンダ情報:Unisys (UIS-2014-3) を追加
    [2014年07月25日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:IBM (00001841) を追加
      ベンダ情報:IBM (00001843) を追加
      ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2014) を追加
      ベンダ情報:ヒューレット・パッカード  (HPSBST03000  SSRT101513) を追加
      参考情報:関連文書 (MGASA-2014-0165) を追加
    [2014年08月07日]
      ベンダ情報:IBM (1672507) を追加
      ベンダ情報:FileZilla  (Version history) を追加
    [2014年08月11日]
      ベンダ情報:オラクル (Multiple vulnerabilities in OpenSSL) を追加
    [2014年11月20日]
      ベンダ情報:F5 Networks (SOL15159: OpenSSL vulnerability CVE-2014-0160) を追加
    [2014年11月28日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:ヒューレット・パッカード (HPSBHF03136  SSRT101726) を追加
    [2015年03月18日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:サイボウズ (OpenSSLの脆弱性に伴う弊社製品への影響について) を追加
    [2015年05月11日]
      ベンダ情報:VMware (VMSA-2014-0012) を追加  
      ベンダ情報:ウェブセンス (Vulnerabilities resolved in TRITON APX Version 8.0 ) を追加
      ベンダ情報:ヒューレット・パッカード (HPSBHF03293  SSRT101846 ) を追加
      参考情報:JVN (JVNTA#99041988) を追加
      参考情報:US-CERT Technical Cyber Security Alert (TA15-119A) を追加
    [2015年12月22日]
      参考情報:ICS-CERT ADVISORY (ICSA-15-344-01) を追加

公表日2014/04/07
登録日2014/04/08
最終更新日2015/12/22