HIRT-PUB14010 : Hitachi 제품의 OpenSSL 모먼트 토토사이트에 대한 응답 (CVE-2014-0224 등)

업데이트 : 2014 년 6 월 20 일

1. 요약

OpenSSL에는 여러 가지 취약점이 있습니다.

모먼트 토토사이트2014-0224 (Man-in-the-Middle Attack으로 인한 정보 누출 또는 변조를 허용하는 취약점)

기본 가치 : 4.0
 공격 소스 분류 : 네트워크
  공격 조건 복잡성 : 높음
 공격 전에 필요한 인증 : 필요 없음
  기밀성에 미치는 영향 (C) : 부분
  무결성에 미치는 영향 (i) : 부분
 가용성 영향 (a) : 없음

현재 가치 : 3.1 (2014 년 6 월 6 일 기준)
   공격 가능성 : 시연
  가용 수준의 수준 : 공식 조치
  모먼트 토토사이트 정보 신뢰성 : 개발자가 정보를 확인했습니다

• CVSS : 2.0 av : n/ac : h/au : n/c : n/c : p/i : p/a : n/e : p/rl : of/rc : c

CVE-2014-0221 (무단 DTLS 핸드 셰이크로 인해 서비스 거부 공격을 허용하는 모먼트 토토사이트)

기본 가치 : 4.3
 공격 소스 분류 : 네트워크
  공격 조건의 복잡성 : 중간
 공격 전에 필요한 인증 : 필요 없음
  기밀성 영향 (C) : 없음
  무결성에 미치는 영향 (i) : 없음
 가용성 영향 (a) : 부분

현재 가치 : 3.7 (2014 년 6 월 6 일 기준)
   공격 가능성 : 불완전한
  가용 수준의 수준 : 공식 조치
 모먼트 토토사이트 정보 신뢰성 : 개발자가 정보를 확인했습니다

• CVSS : 2.0 av : n/ac : m/au : n/c : n/i : n/a : p/e : nd/rl : of/rc : c

CVE-2014-0195 (잘못된 DTLS 분할 메시지로 인해 임의 코드를 허용하는 모먼트 토토사이트)

기본 가치 : 6.8
 공격 소스 분류 : 네트워크
  공격 조건의 복잡성 : 중간
 공격 전에 필요한 인증 : 필요 없음
  기밀성 영향 (C) : 부분
  무결성에 미치는 영향 (i) : 부분
 가용성 영향 (a) : 부분

현재 가치 : 5.9 (2014 년 6 월 6 일 기준)
   공격 가능성 : 불완전한
  가용 수준의 수준 : 공식 조치
 모먼트 토토사이트 정보 신뢰성 : 개발자가 정보를 확인했습니다

• CVSS : 2.0 av : n/ac : m/au : n/c : p/i : p/a : p/e : nd/rl : of/rc : c

모먼트 토토사이트2014-0198 (SSL 모드 릴리스 버퍼 처리에서 널 포인터를 참조하여 서비스 거부 공격을 허용하는 취약점

기본 가치 : 4.3
 공격 소스 분류 : 네트워크
  공격 조건의 복잡성 : 중간
 공격 전에 필요한 인증 : 필요 없음
  기밀성 영향 (C) : 없음
  무결성에 미치는 영향 (i) : 없음
  가용성 영향 (a) : 부분

현재 가치 : 3.7 (2014 년 6 월 6 일 기준)
   공격 가능성 : 불완전한
  가용 수준의 수준 : 공식 조치
  모먼트 토토사이트 정보 신뢰성 : 개발자가 정보를 확인했습니다

• CVSS : 2.0 av : n/ac : m/au : n/c : n/i : n/a : p/e : nd/rl : of/rc : c

모먼트 토토사이트2010-5298 (SSL 모드 릴리스 버퍼 처리의 충돌로 인한 서비스 거부 공격을 허용하는 취약점)

기본 가치 : 4.0
 공격 소스 분류 : 네트워크
  공격 조건의 복잡성 : 높은
 공격 전에 필요한 인증 : 필요 없음
  기밀성 영향 (C) : 없음
  무결성에 미치는 영향 (i) : 부분
 가용성 영향 (a) : 부분

현재 가치 : 3.5 (2014 년 6 월 6 일 기준)
   공격 가능성 : 불완전한
  가용 수준의 수준 : 공식 조치
  모먼트 토토사이트 정보 신뢰성 : 개발자가 정보를 확인했습니다

• CVSS : 2.0 av : n/ac : h/au : n/c : n/i : p/a : p/e : nd/rl : of/rc : c

CVE-2014-3470 (익명 ECDH로 인한 서비스 거부 공격을 허용하는 모먼트 토토사이트)

기본 가치 : 4.3
 공격 소스 분류 : 네트워크
  공격 조건의 복잡성 : 중간
 공격 전에 필요한 인증 : 필요 없음
  기밀성 영향 (C) : 없음
  무결성에 미치는 영향 (i) : 없음
 가용성 영향 (a) : 부분

현재 가치 : 3.7 (2014 년 6 월 6 일 기준)
   공격 가능성 : 불완전한
  가용 수준의 수준 : 공식 조치
 모먼트 토토사이트 정보 신뢰성 : 개발자가 정보를 확인했습니다

• CVSS : 2.0 av : n/ac : m/au : n/c : n/i : n/a : p/e : nd/rl : of/rc : c

2. 영향을받는 시스템

+ OpenSSL 0.9.8 ~ 0.9.8Y
+ OpenSSL 1.0.0 ~ 1.0.0L
+ OpenSSL 1.0.1 ~ 1.0.1g
+ OpenSSL을 구성 요소로 사용하는 제품

• 페이지 상단

3. 가능한 영향

모먼트 토토사이트이 악용되면 임의의 코드 실행, 서비스 거부, 정보 유출 등의 영향을받을 수 있습니다.

4. 대책

(1) 버전 업그레이드 또는 대책 버전의 응용
"5. 제품 호환성 상태"를 확인하고 각 제품에서 보낸 예방 조치에 따라 조치를 취하십시오.

5. 제품 호환성 상태

다음은 Hitachi가 제공하는 Hitachi 제품 및 기타 회사 제품 (표시 *)의 응답 상태입니다.

2014 년 6 월 18 일 게시

+ jp1/Veritas netbackup
+ JP1/Veritas Backup Exec
+ 클라우드 서비스 용 Symantec 보호 엔진 (*)
+ arcserve (*)
+ aix (*)
+ Red Hat Enterprise Linux (*)
+ vmware (*)
+ Oracle Directory Services Plus (*)
+ hp-ux 11i v1/v2/v3 (*)
+ Windows Client (*)
+ Windows Server (*)
+ hitachi에서 구할 수있는 Oracle 제품 (*)
+ hitachi 가상 스토리지 플랫폼
+ hitachi Unified Storage VM
+ Hitachi 가상 저장 플랫폼 G1000

• HWS14-006 : OpenSSL 모먼트 토토사이트의 영향 (CVE-2014-0224 등)

2014 년 6 월 17 일 게시

+ Bladesymphony BS2000 시리즈

• BS2000 시리즈에 대한 OpenSSL 취약성 (CVE-2014-0224 및 기타)의 영향에 대해 :

---

+ Bladesymphony BS1000 시리즈

• BS1000 시리즈에 대한 OpenSSL 모먼트 토토사이트 (CVE-2014-0224 및 기타)의 영향

---

+ Bladesymphony BS500 시리즈

• BS500 시리즈에 대한 OpenSSL 취약성 (CVE-2014-0224 및 기타)의 영향 : 보안 정보

---

+ Bladesymphony BS320 시리즈

• BS320 시리즈에 대한 OpenSSL 취약성 (CVE-2014-0224 및 기타)의 영향 : 보안 정보

---

+ Hitachi Advanced Server HA8000 시리즈

• 토토사이트 forever 시리즈에 대한 OpenSSL 취약성 (CVE-2014-0224 및 기타)의 영향

---

+ Hitachi Advanced Server HA8500 시리즈
+ 클라이언트 블레이드 플로라 BD100/BD500 시리즈
+ 씬 클라이언트 Flora SE210/SE330 시리즈
+ 클라이언트 통합을위한 관리 소프트웨어 (Hitachi BD Link)
+ 테이프 라이브러리 장치 L1/8A, LX/24, LX/30A, LX/48, L20/300, L18/500, L56/3000, L64/8500
+ 엔트리 클래스 디스크 어레이 장치
+ UPS (Unpruptable Power Supply) 관리 소프트웨어, 선택 사항 (*)
  PowerChute Business Edition, PowerChute Network Shutdown, PowerMonitor H,
  네트워크, 네트워크 관리 카드 용 PowerMonitor H, SNMP 카드
+로드 밸런서 AX2000, AX2000HL, AX2500, BIG-IP1500 (*)
+ 디스플레이/키보드 장치, 콘솔 스위칭 장치
+ Hitachi Server Navigator
+ 업데이트 관리자, 로그 수집, 로그 모니터, Alive Monitor, Raid Navigator
+ Hitachi Server Navigator 설치 어시스턴트

• OpenSSL 취약점의 영향 (hulk 토토사이트2014-0224 및 기타) : 보안

---

+ Araxala Networks Ax Series

• AX-VU2014-02 "OpenSSL 취약성 (JVN#61247051)"보고서

2014 년 6 월 13 일 게시

+ Hitachi Metals Apresia Series
+ hitachi 금속 xlgmc/xgmc/gmc/gmx/ewave/bmc/gma series

• OpenSSL ChangeCipherspec 처리 모먼트 토토사이트

2014 년 6 월 6 일 게시

+ 주니퍼 제품 (*)

• OpenSSL 모먼트 토토사이트 정보 (JSA10629)의 적용 가능한 및 적용 할 수없는 장치 정보

6. 관련 정보

6.1 모먼트 토토사이트 식별

• 모먼트 토토사이트2014-0224 (Man-in-the-Middle Attack으로 인한 정보 누출 또는 변조를 허용하는 취약점)
  
  • http : //cve.mitre.org/cgi-bin/cvename.cgi? name = 모먼트 토토사이트2014-0224
  • JVNDB-2014-000048
    http : //jvndb.jvn.jp/ja/contents/2014/jvndb-2014-000048.html
  • JVN#61247051
    http : //jvn.jp/jp/jp/jvn61247051/index.html
• CVE-2014-0221 (무단 DTLS 핸드 셰이크로 인해 서비스 거부 공격을 허용하는 모먼트 토토사이트)
  
  • http : //cve.mitre.org/cgi-bin/cvename.cgi? name = 모먼트 토토사이트2014-0221
• CVE-2014-0195 (잘못된 DTLS 분할 메시지로 인해 임의 코드를 허용하는 모먼트 토토사이트)
  
  • http : //cve.mitre.org/cgi-bin/cvename.cgi? name = 모먼트 토토사이트2014-0195
• 모먼트 토토사이트2014-0198 (SSL 모드 릴리스 버퍼 처리에서 널 포인터를 참조하여 서비스 거부 공격을 허용하는 취약점
  
  • http : //cve.mitre.org/cgi-bin/cvename.cgi? name = 모먼트 토토사이트2014-0198
• CVE-2010-5298 (SSL 모드 릴리스 버퍼 처리의 충돌로 인한 서비스 거부 공격을 허용하는 모먼트 토토사이트)
  
  • http : //cve.mitre.org/cgi-bin/cvename.cgi? name = 모먼트 토토사이트2010-5298
  • JVNDB-2010-005667
    http : //jvndb.jvn.jp/ja/contents/2010/jvndb-2010-005667.html
• CVE-2014-3470 (익명 ECDH로 인한 서비스 거부 공격을 허용하는 모먼트 토토사이트)
  
  • http : //cve.mitre.org/cgi-bin/cvename.cgi? name = 모먼트 토토사이트2014-3470

6.2 참조 정보

• IPA
  "OpenSSL"(JVN#61247051)에서 암호 사양 메시지 처리를위한 취약성 대책에 관한 것입니다.
  http : //www.ipa.go.jp/security/ciadr/vul/20140606-jvn.html

7. 히스토리 업데이트

2014 년 6 월 20 일

• 5. 제품 호환성 상태 : 2014 년 6 월 13 일 추가, 6 월 17 일과 18 일 개정.

2014 년 6 월 19 일

• 이 페이지를 새로 작성하고 게시했습니다.

---

책임 : Terada, Onishi/Hirt