[セキュリティ情報] OpenSSL における Change Cipher Specメッセージ処理の脆弱性のAPCブランド製品への影響について (2014年11月公開)

シュナイダーエレクトリックの複数製品に対する、APCブランド製品のOpenSSL における Change Cipher Specメッセージ処理の脆弱性の影響についての説明です。

OpenSSL には、初期 SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に脆弱性が存在します。
この脆弱性について、複数のシュナイダー製品、APCブランド製品への影響を説明します。

こちらのOpenSSLの脆弱性にの詳細については以下サイトを参照してください。

CVE-2014-0224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

JVN#61247051
OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
http://jvn.jp/jp/JVN61247051/index.html

以下のOpenSSLバージョンに脆弱性が報告されています。

- サーバ側:

OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g およびそれ以前

- クライアント側:

OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前
OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前
OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前

【影響について】
シュナイダーエレクトリックの各製品への影響はありません。
詳細は以下の通りです。

・ Data Center Operations (DCO)： 影響なし (OpenSSL v0.9.8を使用)
・ Data Center Expert (DCE)  version 7.2.5： 影響なし (OpenSSL v1.0.1eを使用)。
Linuxに関連するOpenSSLのバージョンと脆弱性の影響を受けるバージョンはこちらのサイトでご確認ください。
https://access.redhat.com/articles/904433
・ NetBotz Appliances 4.4.2： 影響なし (OpenSSL 0.9.8zcを使用。
この脆弱性についてはOpenSSL 0.9.8zaで修正済み。www.openssl.org/news/vulnerabilities.htmlを参照ください。)
・ Network Management Card (NMC)： 影響なし(OpenSSLは不使用)
・ PowerChute Network Shutdown： 影響なし
(PowerChute Network Shutdown v3.1/v4.x VMware仮想アプライアンスがサーバ側 OpenSSL 0.9.8eを使用、それ以外は不使用)
・ PowerChute Business Edition： 影響なし (サーバ側 OpenSSL 0.9.4を使用)