【お知らせ】OpenSSL 1.0.1ライブラリ(Heartbleed)脆弱性対策について
【お知らせ】OpenSSL 1.0.1ライブラリ(Heartbleed)脆弱性対策について
2014年04月18日
拝啓貴社ますますご盛栄のこととお慶び申し上げます。平素は格別のご高配を賜り,厚くお礼申し上げます。
2014年4月7日にcve - 2014 - 0160として報告されたOpenSSL 1.0.1ライブラリの脆弱性に関して,阿鲁巴岛製品における影響範囲および対策につきまして下記にご報告いたします。
敬具
記
OpenSSL 1.0.1ライブラリの脆弱性について
本脆弱性は,外部の攻撃者がリモートシステムから一切の痕跡を残さずメモリセグメントを抽出することを許可する可能性があります。このメモリは秘密鍵を含む極めて重大なセキュリティ情報を含み得ます。これらの鍵は,さらに,中間者攻撃をしかけることに利用される可能性があります。
該当阿鲁巴製品
ハードウェアに関わらず,以下の阿鲁巴ソフトウェア製品が本脆弱性に該当します。
- ArubaOS 6.3。x, 6.4.x
- ClearPass 6.1。6.2 x。x, 6.3.x
上記製品の過去のバージョンでは脆弱性の無い古いバージョンのOpenSSLを利用しているため該当しません。电波および即时を含む他の阿鲁巴製品では脆弱性の影響を受けるOpenSSLバージョンを使用していないため該当しません。阿鲁巴岛Networksのcloud-based Wi-Fi offeringであるAruba CentralはWeb基盤を最新で安全なバージョンのOpenSSLにアップグレードしております。
影響
OpenSSLは以下の例を含む様々な方法で阿鲁巴製品に使用されています。
- 管理用Web GUIのHTTPS通信
- 俘虏门户のHTTPS通信
- 安全半径通信(EAP-PEAP / TLS / ttl)
- いくつかのサードパーティAPIとの安全な通信
対策
阿鲁巴岛网络は影響を受ける製品のパッチをリリースしており,これらのバージョンにアップグレードすることを推奨致します。
- ArubaOS 6.3.1.5
- ArubaOS 6.4.0.3
- ClearPass 6.1。X(個別のバージョン用のパッチがリリースされていますので,お使いのバージョンに合うものを適用して下さい)
- ClearPass 6.2。X(6.2.6用のパッチがリリースされていますので,6.2.6にアップグレードしてから適用して下さい)
- ClearPass 6.3。X(6.3.1用のパッチがリリースされていますので,6.3.1にアップグレードしてから適用して下さい)
