(JVNVU#94401838, JVNDB-2014-001920, CVE-2014-0160)
업데이트 : 2014 년 5 월 12 일
OpenSSL은 RFC6520에서 지정된대로 TLS/DTLS에 대한 하트 비트 확장의 구현으로 인해 정보 누출을 허용하는 토토사이트 bts (JVNVU#94401838, JVNDB-2014-001920, CVE-2014-0160)을 가지고 있습니다.
기본 가치 : 5.0
공격 소스 분류 : 네트워크
공격 조건 복잡성 : 낮음
공격 전에 필요한 인증 : 필요 없음
기밀성에 미치는 영향 (C) : 부분
무결성에 미치는 영향 (i) : 없음
가용성 영향 (a) : 없음
현재 가치 : 4.1 (2014 년 4 월 16 일 현재)
공격 가능성 : 공격 할 수 있습니다
가용 수준의 수준 : 공식 조치
토토사이트 bts 정보 신뢰성 : 개발자가 정보를 확인했습니다
+ 토토사이트 bts 1.0.1 ~ 1.0.1f
+ 토토사이트 bts 1.0.2-Beta ~ 1.0.2-Beta1
+ 토토사이트 bts을 구성 요소로 사용하는 히타 치 제품
취약점이 악용되면 SSL 서버 인증서, 쿠키 등의 개인 키와 같은 메모리에 저장된 중요한 데이터를 읽을 수 있습니다.
그림 1 : SSL 서버 메모리에 저장된 일부 데이터가 참조 할 수있는 경우
(1) 버전 업그레이드 또는 대책 버전의 응용
"5. 제품 호환성 상태"를 확인하고 각 제품에서 보낸 예방 조치에 따라 조치를 취하십시오.
(2) (권장) SSL 서버 인증서를 재발행하고 현재 사용중인 SSL 서버 인증서를 취소
취약점이 악용되면 SSL 서버 인증서의 개인 키가 읽었을 수 있습니다.
(3) (권장) 비밀번호 변경
취약점이 악용되면 웹 토토사이트 bts를 사용하는 사용자의 비밀번호를 읽었을 수 있습니다.
(4) (권장) IDS/IPS, 네트워크 패킷 모니터링 소개/향상
공격 로그 또는 시스템 로그에는 공격이 공격인지 여부를 결정하기 위해 흔적이 남아 있지 않으므로 탐지 또는 기타 측정이 필요한 경우 IDS/IPS 및 네트워크 패킷 모니터링을 도입/향상시키는 것이 좋습니다.
다음은 Hitachi가 제공하는 Hitachi 제품 및 기타 회사 제품 (표시 *)의 응답 상태입니다.
+ 제어 서버, 컨트롤러 : RS90 시리즈, S10 시리즈, HISEC 시리즈
+ 산업용 컴퓨터 : HF-W 시리즈
+ 산업 제어 플랫폼 : HIDIC-AZ 시리즈, PS21 시리즈
+ DCS 플랫폼 : HIACS 시리즈
영향이 없습니다.
+ hitachi 금속 xlgmc/xgmc/gmc/gmx/ewave/bmc/gma series
영향이 없습니다.
+ 아르크 서비스 복제 R16.5 이상 (16.5, 16.5sp1, 16.5sp2) (*)
+ arcserve d2d r16.5 이상 (16.5, 16.5 update1) (*)
+ Arcserve Backup R15/R16/R16.5 (*)
+ Arcserve Replication R15/R16 (*)
+ Windows R15/R16 (*) 용 Arcserve D2D
+ UPS (Unintruptable Power Supply) 관리 소프트웨어, 선택 사항 (*)
+ Hitachi IT 운영
+ hp-ux (*)
+ HP hit hitcha (*)가 제공하는 미들웨어 제품 (*)
+ aix (*)
+ 미덕
+ virtage navigator
+ HVM 관리 명령 (HVMSH)
+로드 밸런서 Big-IP1500, AX2000, AX2000HL, AX2500 (*)
+ Hitachi Advanced Server HA8000 시리즈
+ Bladesymphony BS2000 시리즈
+ Bladesymphony BS500 시리즈
+ JP1/Veritas Backup Exec
+ jp1/hidemonth
+ Hibun AE 전체 디스크 암호화
+ CA Controlminder (이전 CA 액세스 컨트롤로 알려진) (*)
+ 방화벽 -1 (*)
+ 클라우드 서비스 용 Symantec 보호 엔진 (*)
+ jp1/Veritas netbackup
+ alc netacademy2
+ 라우터 스위치 GS/GR 시리즈
이것은 GS/GR 시리즈에 영향을 미치지 않습니다.
[gs3000/gs4000]
[GR2000/GR4000]
+ Hitachi Metals Apresia Series
이것은 Apresia 시리즈에 영향을 미치지 않습니다.
+ (VSP) Hitachi Virtual Storage Platform
+ (HUS VM) Hitachi Unified Storage VM
+ Araxala Networks Ax Series
다음 AX 시리즈는 영향을받지 않습니다.
[AX8600R/6700S/6600S/6300S, AX4600S/3800S/3600S/2400S]
[AX7800R/7700R/7800S/5400S]
[AX2500S/2200S/1200S]
[Ax620R]
+ Windows Client (*)
+ Windows Server (*)
+ Red Hat Enterprise Linux (*)
+ vmware (*)
+ hitachi 오픈 미들웨어 제품
+ Hitachi Command Suite (Storage, Server Management)
책임 : Terada, Onishi/Hirt
글로벌 사인 :
중요한 전자 문서의 디지털 서명. 홍보에도 유용합니다
