【お知らせ】OpenSSL 1.0.1 ライブラリ (Heartbleed) 脆弱性対策について

【お知らせ】OpenSSL 1.0.1 ライブラリ (Heartbleed) 脆弱性対策について

2014年04月18日

拝啓 貴社ますますご盛栄のこととお慶び申し上げます。平素は格別のご高配を賜り、厚くお礼申し上げます。

2014年4月7日にCVE-2014-0160として報告されたOpenSSL 1.0.1ライブラリの脆弱性に関して、Aruba製品における影響範囲および対策につきまして下記にご報告いたします。

敬具


  1. OpenSSL 1.0.1ライブラリの脆弱性について

    本脆弱性は、外部の攻撃者がリモートシステムから一切の痕跡を残さずメモリセグメントを抽出することを許可する可能性があります。このメモリは秘密鍵を含む極めて重大なセキュリティ情報を含み得ます。これらの鍵は、さらに、中間者攻撃をしかけることに利用される可能性があります。

  2. 該当Aruba製品

    ハードウェアに関わらず、以下のArubaソフトウェア製品が本脆弱性に該当します。

    • ArubaOS 6.3.x, 6.4.x
    • ClearPass 6.1.x, 6.2.x, 6.3.x

    上記製品の過去のバージョンでは脆弱性の無い古いバージョンのOpenSSLを利用しているため該当しません。AirwaveおよびInstantを含む他のAruba製品では脆弱性の影響を受けるOpenSSL バージョンを使用していないため該当しません。Aruba Networksのcloud-based Wi-Fi offeringであるAruba CentralはWeb基盤を最新で安全なバージョンのOpenSSLにアップグレードしております。

  3. 影響

    OpenSSLは以下の例を含む様々な方法でAruba製品に使用されています。

    • 管理用Web GUIのHTTPS通信
    • Captive PortalのHTTPS通信
    • Secure RADIUS通信(EAP-PEAP/TLS/TTLS)
    • いくつかのサードパーティAPIとの安全な通信
  4. 対策

    Aruba Networksは影響を受ける製品のパッチをリリースしており、これらのバージョンにアップグレードすることを推奨致します。

    • ArubaOS 6.3.1.5
    • ArubaOS 6.4.0.3
    • ClearPass 6.1.X (個別のバージョン用のパッチがリリースされていますので、お使いのバージョンに合うものを適用して下さい)
    • ClearPass 6.2.X (6.2.6用のパッチがリリースされていますので、6.2.6にアップグレードしてから適用して下さい)
    • ClearPass 6.3.X (6.3.1用のパッチがリリースされていますので、6.3.1にアップグレードしてから適用して下さい)