HULFT Technical Support & FAQ

HULFT Series製品におけるOpenSSL「Change Cipher Spec メッセージ」の脆弱性(CVE-2014-0224)に対する報告

本メールはHULFT技術サポート契約締結ユーザーの皆様を対象に発信させていただいております。
当メールの配信停止及び変更につきましては、文末にご案内しております。

===============================================================
   HULFT Series製品におけるOpenSSL「Change Cipher Spec メッセージ」の
脆弱性(CVE-2014-0224)に対する報告
===============================================================


HULFT Series製品におけるOpenSSL「Change Cipher Spec メッセージ」の
脆弱性(CVE-2014-0224)に対する報告をご案内いたします。


1. 脆弱性の内容
オープンソースの暗号通信ライブラリである「OpenSSL」において、
初期 SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に
脆弱性が発見されました。
暗号通信の内容が漏えい、または改ざんされる可能性があります。

<OpenSSL の脆弱性に関する情報>
http://www.ipa.go.jp/security/ciadr/vul/20140606-jvn.html
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000048.html


2. 調査結果
OpenSSLの上記脆弱性についてHULFT Series製品における影響をご案内します。


<HULFT Series製品 調査結果>

○HULFT
影響ありません。
OpenSSLは使用しておりません。

○HULFT-BB
影響があります。
詳細は後述の「3.HULFT BBの影響」をご確認ください。

○HULFT-HUB
影響ありません。
OpenSSLは使用しておりません。

○HULFT-DataMagic
影響ありません。
OpenSSLを使用しておりますが、脆弱性のある組み合わせで使用しておりません。

○HULFTクラウド
影響ありません。
OpenSSLは使用しておりません。
Webアプリケーションサーバにつきましては、お客様にてご確認ください。

○HDC-EDI Suite
影響ありません。
OpenSSLは使用しておりません。
Webアプリケーションサーバにつきましては、お客様にてご確認ください。

○iDIVO
影響ありません。
OpenSSLを使用しておりますが、脆弱性のある組み合わせで使用しておりません。

○SIGNAlert
影響があります。
詳細は後述の「4.SIGNAlertの影響」をご確認ください。


3.HULFT BBの影響

【対象製品】
HULFT BB Client for Windows Ver.6.3.0~6.3.6

【対象機能】
HTTP転送機能にて、本脆弱性に該当するOpenSSL を利用しています。
接続先のWebサーバが本脆弱性に該当するOpenSSLを使用している場合に本脆弱性の影響を
  受けます。

【回避方法】
WebサーバのOpenSSLを本脆弱性対処済みのバージョンにアップデートしてください。


4.SIGNAlertの影響

【対象製品】
SIGNAlert Manager Web監視オプション Ver.3.3.0~3.5.3

【対象機能】
Webレスポンス監視機能にて、本脆弱性に該当するOpenSSL を利用しています。
接続先のWebサーバが本脆弱性に該当するOpenSSLを使用している場合に本脆弱性の影響を
  受けます。

【回避方法】
WebサーバのOpenSSLを本脆弱性対処済みのバージョンにアップデートしてください。


5.製品の対応
次期製品リリースにおいて脆弱性対処済みの最新版のOpenSSLを適用し、ご提供いたします。
なお、リリース日については決定次第ご案内いたします。


以上



当ご案内はHULFTテクニカルサポートサイトにも掲載しております。
『HULFT Series 製品におけるOpenSSL「Change Cipher Spec メッセージ」の
脆弱性(CVE-2014-0224)に対する報告』をご覧ください。

http://www.hulft.com/tech-support/news/etc/uploadfile/docs/information_20140611.pdf
                                        以上

---------------------------------------------------------------------
■ HULFTホームページ
https://www.hulft.com/

■ HULFTテクニカルサポートサイト
 =>[HULFTホームページ]→[技術サポート専用サイト]

 ※HULFTテクニカルサポートサイトはログインの際、製品のシリアル番号が必要です。

■ HULFT技術情報メール配信停止 及び 配信先の変更
 ↓myHULFTご利用のお客様はこちらから↓
  [HULFTホームページ]→[myHULFT]ログイン後
  =>「個人設定」→「プロファイル」
  
 ※予め新しくメール配信先となるお客様の、myHULFTへのユーザ登録が必要です。

 =>[ライセンス]→[新規登録]

 ※サポート締結済みシリアルNo.をご登録ください。

■個人情報保護方針その他当社の情報保護への取組みについて
http://www.saison-technology.com/privacy/index.html
---------------------------------------------------------------------