本メールはHULFT技術サポート契約締結ユーザーの皆様を対象に発信させていただいております。
当メールの配信停止及び変更につきましては、文末にご案内しております。
===============================================================
HULFT Series製品におけるOpenSSL「Change Cipher Spec メッセージ」の
脆弱性(CVE-2014-0224)に対する報告
===============================================================
HULFT Series製品におけるOpenSSL「Change Cipher Spec メッセージ」の
脆弱性(CVE-2014-0224)に対する報告をご案内いたします。
1. 脆弱性の内容
オープンソースの暗号通信ライブラリである「OpenSSL」において、
初期 SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に
脆弱性が発見されました。
暗号通信の内容が漏えい、または改ざんされる可能性があります。
<OpenSSL の脆弱性に関する情報>
http://www.ipa.go.jp/security/ciadr/vul/20140606-jvn.html
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000048.html
2. 調査結果
OpenSSLの上記脆弱性についてHULFT Series製品における影響をご案内します。
<HULFT Series製品 調査結果>
○HULFT
影響ありません。
OpenSSLは使用しておりません。
○HULFT-BB
影響があります。
詳細は後述の「3.HULFT BBの影響」をご確認ください。
○HULFT-HUB
影響ありません。
OpenSSLは使用しておりません。
○HULFT-DataMagic
影響ありません。
OpenSSLを使用しておりますが、脆弱性のある組み合わせで使用しておりません。
○HULFTクラウド
影響ありません。
OpenSSLは使用しておりません。
Webアプリケーションサーバにつきましては、お客様にてご確認ください。
○HDC-EDI Suite
影響ありません。
OpenSSLは使用しておりません。
Webアプリケーションサーバにつきましては、お客様にてご確認ください。
○iDIVO
影響ありません。
OpenSSLを使用しておりますが、脆弱性のある組み合わせで使用しておりません。
○SIGNAlert
影響があります。
詳細は後述の「4.SIGNAlertの影響」をご確認ください。
3.HULFT BBの影響
【対象製品】
HULFT BB Client for Windows Ver.6.3.0~6.3.6
【対象機能】
HTTP転送機能にて、本脆弱性に該当するOpenSSL を利用しています。
接続先のWebサーバが本脆弱性に該当するOpenSSLを使用している場合に本脆弱性の影響を
受けます。
【回避方法】
WebサーバのOpenSSLを本脆弱性対処済みのバージョンにアップデートしてください。
4.SIGNAlertの影響
【対象製品】
SIGNAlert Manager Web監視オプション Ver.3.3.0~3.5.3
【対象機能】
Webレスポンス監視機能にて、本脆弱性に該当するOpenSSL を利用しています。
接続先のWebサーバが本脆弱性に該当するOpenSSLを使用している場合に本脆弱性の影響を
受けます。
【回避方法】
WebサーバのOpenSSLを本脆弱性対処済みのバージョンにアップデートしてください。
5.製品の対応
次期製品リリースにおいて脆弱性対処済みの最新版のOpenSSLを適用し、ご提供いたします。
なお、リリース日については決定次第ご案内いたします。
以上
当ご案内はHULFTテクニカルサポートサイトにも掲載しております。
『HULFT Series 製品におけるOpenSSL「Change Cipher Spec メッセージ」の
脆弱性(CVE-2014-0224)に対する報告』をご覧ください。
http://www.hulft.com/tech-support/news/etc/uploadfile/docs/information_20140611.pdf