公開日:2014/04/08 最終更新日:2015/03/17

JVNVU#94401838
OpenSSL の heartbeat 拡張に情報漏えいの脆弱性

概要

OpenSSL の heartbeat 拡張の実装には、情報漏えいの脆弱性が存在します。

影響を受けるシステム

  • OpenSSL 1.0.1 から 1.0.1f まで
OpenSSL 1.0.2 については、1.0.2-beta2 で対応予定とのことです。

詳細情報

OpenSSL の heartbeat 拡張の実装には、情報漏えいの脆弱性が存在します。TLS や DTLS 通信において OpenSSL のコードを実行しているプロセスのメモリ内容が通信相手に漏えいする可能性があります。

想定される影響

遠隔の第三者によって、秘密鍵などの重要な情報を取得される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社 該当製品無し 2014/04/22
サイボウズ株式会社 該当製品あり 2015/03/17 サイボウズ株式会社 の告知ページ
トレンドマイクロ株式会社 該当製品あり 2014/06/09 トレンドマイクロ株式会社 の告知ページ
ビー・ユー・ジー森精機株式会社 該当製品無し 2014/05/01 ビー・ユー・ジー森精機株式会社 の告知ページ
ミラクル・リナックス株式会社 該当製品あり 2014/04/15 ミラクル・リナックス株式会社 の告知ページ
古河電気工業株式会社 該当製品無し 2014/04/22
富士通株式会社 該当製品あり 2014/07/02 富士通株式会社 の告知ページ
日本マイクロソフト株式会社 該当製品無し 2014/04/11 日本マイクロソフト株式会社 の告知ページ
日本電気株式会社 該当製品あり(調査中) 2014/05/15
日立 該当製品あり(調査中) 2014/04/26
株式会社アラタナ 該当製品無し 2014/06/05 株式会社アラタナ の告知ページ
株式会社インターネットイニシアティブ 該当製品無し 2014/04/10 株式会社インターネットイニシアティブ の告知ページ

参考情報

  1. CERT/CC Vulnerability Note VU#720951
    OpenSSL heartbeat information disclosure
  2. The Heartbleed Bug
    Heartbleed Bug
  3. IETF RFC6520
    Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension
  4. NCSC-FI - FICORA #788210
    NCSC-FI Advisory on OpenSSL
  5. @police
    OpenSSL の脆弱性を標的としたアクセスの増加について

JPCERT/CCからの補足情報

[4月25日現在]
Apache Tomcat を使用しているユーザは、本脆弱性の影響に注意してください。

Apache Tomcat を Tomcat Native (以下 tcnative) と組み合わせて使用しているシステムは、本脆弱性の影響を受ける可能性があります。

8系、7系、6系 の最新版である 8.0.5、7.0.53、6.0.39 には本脆弱性の影響を受ける tcnative 1.1.29 が同梱されています (tcnative 1.1.24 - 1.1.29 が本脆弱性の影響を受けます)。

現在、本脆弱性を修正した OpenSSL 1.0.1g を使用する tcnative 1.1.30 が公開されています。

JPCERT/CCによる脆弱性分析結果

2014.04.11における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に必要な条件はない
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 一部の情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さは損なわれない
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用は阻害されない

Base Score:5.0

分析結果のコメント

本脆弱性は機密性にのみ直接影響すると評価したため、CVSS分析値を変更しました。

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2014-0013
OpenSSL の脆弱性に関する注意喚起
JPCERT REPORT
CERT Advisory US-CERT Alert (TA14-098A)
OpenSSL 'Heartbleed' vulnerability (CVE-2014-0160)
CPNI Advisory
TRnotes
CVE CVE-2014-0160
JVN iPedia JVNDB-2014-001920

更新履歴

2014/04/08
関連文書に JPCERT/CC 注意喚起を追加しました。
2014/04/09
参考情報および関連文書にリンクを追加しました。
2014/04/09
株式会社インターネットイニシアティブのベンダステータスが更新されました
2014/04/09
株式会社インターネットイニシアティブのベンダステータスが更新されました
2014/04/10
株式会社インターネットイニシアティブのベンダステータスが更新されました
2014/04/11
CVSS分析値を更新しました。
2014/04/11
日本マイクロソフト株式会社のベンダステータスが更新されました
2014/04/11
日本マイクロソフト株式会社のベンダステータスが更新されました
2014/04/11
参考情報にリンクを追加しました。
2014/04/16
ミラクル・リナックス株式会社のベンダステータスが更新されました
2014/04/16
ミラクル・リナックス株式会社のベンダステータスが更新されました
2014/04/16
トレンドマイクロ株式会社のベンダステータスが更新されました
2014/04/17
日立のベンダステータスが更新されました
2014/04/18
アライドテレシス株式会社のベンダステータスが更新されました
2014/04/22
アライドテレシス株式会社、古河電気工業株式会社のベンダステータスが更新されました
2014/04/25
ベンダ情報にリンクおよび JPCERT/CC からの補足情報を追加しました。
2014/04/28
日立のベンダステータスが更新されました
2014/04/28
日本電気株式会社のベンダステータスが更新されました
2014/04/28
トレンドマイクロ株式会社のベンダステータスが更新されました
2014/04/28
日本電気株式会社のベンダステータスが更新されました
2014/05/01
ビー・ユー・ジー森精機株式会社のベンダステータスが更新されました
2014/05/07
日本電気株式会社のベンダステータスが更新されました
2014/05/12
富士通株式会社のベンダステータスが更新されました
2014/05/15
日本電気株式会社のベンダステータスが更新されました
2014/06/06
株式会社アラタナのベンダステータスが更新されました
2014/06/09
トレンドマイクロ株式会社のベンダステータスが更新されました
2014/07/02
富士通株式会社のベンダステータスが更新されました
2015/03/17
サイボウズ株式会社のベンダステータスが更新されました