概要
ServerProtect for Linux 3.0 (以下、SPLX 3.0) の OpenSSL Heartbleed の脆弱性(CVE-2014-0160)は以下となります
詳細
脆弱性の概要
OpenSSL 1.0.1 から 1.0.1f および OpenSSL 1.0.2-beta から 1.0.2-beta1 のバージョンのheartbeat 拡張に情報漏えいの脆弱性が存在する事が報告されており、攻撃者が細工したパケットを送付することでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得する可能性があります。
OpenSSL に存在する脆弱性「Heartbleed」と名付けられたこの脆弱性は、Heartbeat拡張を利用するすべての OpenSSL実装に存在します。脆弱性を抱えるサーバが攻撃を受けると、攻撃者は、痕跡をまったく残さず、PC のメモリから一度に 64KB までの情報を読み出すことが可能になります。
メモリ内のこの少量の情報の中に、ユーザの重要な個人情報が含まれている可能性があります。例えば、秘密鍵や、ユーザ名、パスワード(多くの場合、暗号化されていない)、クレジットカード情報、また機密書類などです。また、攻撃者はできるだけ多くの情報を得るために、何度も情報を収集する可能性があります。
OpenSSL に存在する脆弱性「Heartbleed」と名付けられたこの脆弱性は、Heartbeat拡張を利用するすべての OpenSSL実装に存在します。脆弱性を抱えるサーバが攻撃を受けると、攻撃者は、痕跡をまったく残さず、PC のメモリから一度に 64KB までの情報を読み出すことが可能になります。
メモリ内のこの少量の情報の中に、ユーザの重要な個人情報が含まれている可能性があります。例えば、秘密鍵や、ユーザ名、パスワード(多くの場合、暗号化されていない)、クレジットカード情報、また機密書類などです。また、攻撃者はできるだけ多くの情報を得るために、何度も情報を収集する可能性があります。
影響度の解説
本脆弱性が該当する条件は、Service Pack1 Patch 5適用時となります。 また、以下の理由からSPLXにおける本脆弱性の影響は「低」と判断しております。
- SPLXの管理Webコンソールは、外部からアクセスできる環境では無い限り、攻撃を受ける可能性は少ない
- SPLXの管理Webコンソールでは、個人情報等の機密情報を取り扱っていない
恒久対応
本脆弱性の対応といたしまして、2014年5月7日にCritical Patch (build 1414)を公開いたしました。
