以下バージョンの OpenSSL にて、TLS/SSL ハンドシェイクにおける ChangeCipherSpec メッセージの処理に脆弱性が存在することが報告されています。この脆弱性が悪用されると、OpenSSL を使用して保護されていたサーバ及びクライアント間の通信が中間者攻撃 (man-in-the-middle attack) により搾取・改ざんされる可能性があります。
- 1.0.2-beta1 (サーバ)
- 1.0.1h 未満 (サーバ/クライアント)
- 1.0.0m 未満 (クライアント)
- 0.9.8za 未満 (クライアント)
トレンドマイクロでは、現在弊社製品における該当脆弱性の影響の有無について確認しています。最新情報のアップデートは、随時本ページの更新にて行う予定です。
該当脆弱性の影響が無い製品
| 製品名 | バージョン | 影響度 | 備考 |
|---|---|---|---|
| ウイルスバスターコーポレートエディション | 全バージョン | 影響なし | |
| ウイルスバスタービジネスセキュリティ | 全バージョン | 影響なし | |
| ウイルスバスタービジネスセキュリティサービス | 全バージョン | 影響なし | |
| ServerProtect for Windows / NetApp / EMC | 全バージョン | 影響なし | |
| Interscan for Microsoft Exchange | 全バージョン | 影響なし | |
| Interscan for (IBM/Lotus) Domino | 全バージョン | 影響なし | |
| Interscan Web Security Suite Linux版/Windows版/Solaris版 | 3.1 | 影響なし | |
| InterScan Messaging Security Suite Linux版 | 7.0, 7.1 | 影響なし | |
| PortalProtect | 全バージョン | 影響なし | |
| Trend Micro Safe Lock | 全バージョン | 影響なし | |
| Trend Micro USB Security | 全バージョン | 影響なし | |
| Customer Licensing Portal | N/A | 影響なし | |
| License Management Platform | N/A | 影響なし | |
| Trend Micro SSL | N/A | 影響なし | |
| Trend Micro Security (for Mac) | 全バージョン | 影響なし | |
| Interscan Web Manager | 全バージョン | 影響なし | |
| Trend Micro Portable Security | 1.x | 影響なし | |
| Trend Micro Smart Scan Server / Smart Protection Server | 全バージョン | 影響なし | |
| Network VirusWall Enforcer | 全バージョン | 影響なし | |
| Deep Discovery / Deep Discovery Inspector | 全バージョン | 影響なし | |
| Trend Micro Control Manager | 全バージョン | 影響なし | |
| InterScan Virus Wall Standard Edition | 全バージョン | 影響なし | |
| Trend Micro Hosted Email Security | 全バージョン | 影響なし |
Webコンソールの表示のみ該当脆弱性の影響を受ける製品
下表内の製品は、Webコンソールの表示に関するトラフィックの暗号化のみの目的で脆弱性の影響を受けるOpenSSLを利用していますが、以下の理由から脆弱性の影響を受ける可能性は極めて低いと判断できます。
- 攻撃者が該当脆弱性を悪用するためには、クライアント側でも脆弱性のあるOpenSSLを利用している事が大前提となりますが、一般的なWebブラウザ(Internet Explorer , Firefox , Google Chrome等)ではOpenSSLを利用していません
- 攻撃者が該当脆弱性を悪用するためには、クライアントとサーバ間のトラフィックを傍受する必要がありますので、下表内の製品のWebコンソールをインターネット上に公開するような運用をしていない限り、該当脆弱性の影響を受ける可能性はほぼ無いと言えます
| 製品名 | バージョン | 影響度 | 備考 |
|---|---|---|---|
| ServerProtect for Linux | 全バージョン | 微細 | OpenSSLのバージョンを更新するための修正プログラムをリリースする予定 |
Trend Micro Deep Security での対応について
Trend Micro Deep Security では、最新のセキュリティアップデート(DSRU14-019)にて本脆弱性に対応しています。
該当脆弱性の影響度が極めて低い製品
下表内の製品は、製品内で脆弱性の影響を受けるOpenSSLを利用していますが、以下の理由から脆弱性の影響を受ける可能性は極めて低いと判断できます。
- 本脆弱性を利用するには複数のステップを必要とし、またセキュリティを確保した環境で本脆弱性を悪用する難易度は極めて高いため、影響度は微細と判断しています。
- 攻撃者が該当脆弱性を悪用するためには、クライアントとサーバ間のトラフィックを傍受する必要がありますので、該当製品の通信がセキュリティを確保した適切なネットワークを経由することで、攻撃を受ける可能性を最小化することができます。
| 製品名 | バージョン | 影響度 | 備考 |
|---|---|---|---|
| InterScan Messaging Security Suite Windows 版 | 7.1 | 微細 | 次期Patchでリリースする予定 |
| InterScan Messaging Security Virtual Appliance | 8.2 8.5 | 微細 | 次期Patchでリリースする予定 |
| InterScan Web Security Suite | 5.6 | 微細 | 次期バージョンでリリースする予定 |
| InterScan Web Security Virtual Appliance | 5.6 | 微細 | 次期バージョンでリリースする予定 |
|
Trend Micro Portable Security
| 2.0 | 微細 |
次期Patchでリリースする予定 |
| Trend Micro Deep Security | 9.0 8.0 7.5 | 低 | 次期バージョンでリリースする予定 ※バージョン9.0 では、Service Pack 1 Patch4 以降で対応予定となります。 |
|
Trend Micro Mobile Security |
9.0 | 低 | 次期Patchでリリースする予定 |
|
Trend Micro Mobile Security |
7.0 | 低 | 8.0へバージョンアップしてください |