勧告: OpenSSL セキュリティアドバイザリ [2014年、6月 5日]

  • 文章 ID: 121108
  • 更新日: 2014 7 02

2014年、6月 5日に OpenSSL Project はソフトウェア内に見つかった 7つのセキュリティ上の脆弱性の情報を公開し、修正版も併せて公開しました。  

一部のソフォス製品は OpenSSL 暗号化ライブラリを使用しているため、この文章ではソフォス製品に関連する問題点について説明しています。

重要: この問題に関しては現在調査中です。新しい情報に関しては、このページを更新いたします。

影響を受けるソフォス製品とバージョン

Sophos Web Appliance
Sophos UTM Manager
Sophos UTM
Sophos Email Appliance
Sophos Cloud
PureMessage for Unix

OpenSSL の脆弱性とは?

CVE 参照番号とその内容の説明については、下記の一覧をご覧ください。

CVE 参照番号† 説明
CVE-2014-0224 SSL/TLS MITM 脆弱性
CVE-2014-0221 DTLS 再帰呼び出しに関する欠陥
CVE-2014-0195 DTLS の不正フラグメントによる脆弱性
CVE-2014-0198 SSL_MODE_RELEASE_BUFFERS の NULL ポインタの参照外し
CVE-2010-5298 SSL_MODE_RELEASE_BUFFERS によるセッションインジェクションまたは DoS攻撃
CVE-2014-3470 匿名の ECDH DoS攻撃
CVE-2014-0076 "Recovering OpenSSL ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack" (FLUSH+RELOADキャッシュのサイドチャネル攻撃によるECDSA Nonce の復元) で説明されている攻撃に対応する修正

†CVE とは、さまざまな脆弱性やセキュリティ上の問題を標準化された識別番号でデータベースに登録したものです。詳細はcve.mitre.org の Web サイトをご覧ください。

OpenSSL Project によって公開された脆弱性の一覧は次のリンクから参照できます。

脆弱性の影響がある OpenSSL のバージョンは?

6月 5日の最新のソフトウェアがリリースされるまでの間には、クライアントアプリケーション内のすべてのバージョンの OpenSSL に脆弱性がありました。脆弱性の原因となる問題は 1998 年に作成されたコードにありました。1.0.1 以降のサーバーのバージョンのみが脆弱性の影響を受けます。

詳細についてはソフォスのブログ (英語) をご覧ください。

この OpenSSL 脆弱性の問題が悪用された事例は報告されているか?

悪用された事例はありません。

これは 'Heartbleed' と同じか?

いいえ。Heartbleed (CVE-2014-0160) は 2014年 4月 7日の OpenSSL Project で公開された脆弱性で、今回のものとは別の脆弱性です。

脆弱性の影響を受けるソフォス製品は?

以下の表には、問題の影響を受けるソフォス製品と関連する CVE 番号やその他の情報が表示されています。

重要: ソフォスの開発チームが問題の調査を完了した際には、問題の影響を受けるすべてのソフォス製品と解決策が表示されます。下の表に含まれていない製品は、問題の影響を受けないことを示しています。

影響を受ける製品 CVE 参照番号 詳細情報
Sophos UTM v8.3
Sophos UTM v9.1
Sophos UTM v9.2
CVE-2014-0224

問題の影響を受けるバージョンは次のように個別に修正されます。
v8.312
v9.113 (リリース済み - アップデート方法に関しては KBA 121112 を参照)
v9.203 (リリース済み - アップデート方法に関しては KBA 121112を参照)

Sophos UTM Manager v4.1 および 4.2 CVE-2014-0224

バージョン 4.107 でパッチ適用済み (リリース済み):
Up2date リンク
MD5SUM: be4f0d72e7266882bb3cd63cdc92bb90
ファイルサイズ ~198MB

バージョン 4.201 でパッチ適用済み (リリース済み):
Up2date リンク
MD5SUM: 42ddbb8f7eb30cc98a23f2f88b0e52fe
ファイルサイズ ~50MB

Sophos Web Appliance v3.9.x.x CVE-2014-0224 2014年 6月 11日に v3.9.0.2 に修正パッチを適用予定
Sophos Email Appliance v3.7.x.x CVE-2014-0224 2014年 6月 23日の週に v3.8.0.0 に修正パッチを適用予定
PureMessage for UNIX v6 CVE-2014-0224 2014年 6月 25日に修正パッチを適用予定
Sophos Cloud  CVE-2014-0224 2014年 6月 17日にパッチを適用済み

その他のご質問に関して

この文章に関するご質問に関してはページ下部にある入力フォームをご利用ください。また、ソフォスの下記のフォーラム (英語) もご利用ください。

 
詳細情報が必要な場合やご不明の点がある場合は、 テクニカルサポート までご連絡ください。

Rate this article

Very poor Excellent

Comments