Critical
Critical
アドバイザリーID : cisco-sa-20140605-openssl
初公開日 : 2014-06-05 22:40
最終更新日 : 2015-03-27 19:50
バージョン 1.28 : Final
CVSSスコア :
10.0
回避策 :
No Workarounds available
Cisco バグ ID : CSCup22590
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
1つ以上の脆弱性の影響を受けるバージョンのOpenSSLパッケージが複数のシスコ製品に組み込まれており、認証されていないリモートの攻撃者が任意のコードを実行したり、サービス妨害(DoS)状態を発生させたり、中間者攻撃を実行したりする可能性があります。2014年6月5日、OpenSSL Projectは7件の脆弱性に関するセキュリティアドバイザリをリリースしました。この脆弱性は、このドキュメントで次のように言及されています。
この脆弱性の影響を受けるデバイスは、SSLまたはDTLS接続を終了するSecure Sockets Layer(SSL)またはDatagram Transport Layer Security(DTLS)サーバとして機能するデバイス、またはSSLまたはDTLS接続を開始するSSLクライアントとして機能するデバイスです。終端することなくSSLまたはDTLSトラフィックによって通過するだけのデバイスは影響を受けません。
シスコでは、これらの脆弱性に対するソフトウェア アップデートを提供する予定です。
本脆弱性を軽減する回避策が入手できる場合もあります。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140605-openssl
- SSL/TLSの中間者攻撃に対する脆弱性
- DTLS再帰欠陥の脆弱性
- DTLS無効フラグメントの脆弱性
- SSL_MODE_RELEASE_BUFFERS NULLポインタ逆参照の脆弱性
- SSL_MODE_RELEASE_BUFFERSセッションインジェクションまたはDoS脆弱性
- Anonymous ECDHのDoS脆弱性
- ECDSA NONCEサイドチャネルリカバリ攻撃の脆弱性
この脆弱性の影響を受けるデバイスは、SSLまたはDTLS接続を終了するSecure Sockets Layer(SSL)またはDatagram Transport Layer Security(DTLS)サーバとして機能するデバイス、またはSSLまたはDTLS接続を開始するSSLクライアントとして機能するデバイスです。終端することなくSSLまたはDTLSトラフィックによって通過するだけのデバイスは影響を受けません。
シスコでは、これらの脆弱性に対するソフトウェア アップデートを提供する予定です。
本脆弱性を軽減する回避策が入手できる場合もあります。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140605-openssl
該当製品
次のセクションに記載されていない製品に関するお問い合せについては、Cisco TACまたはサポートプロバイダーにお問い合わせいただき、TACサービスリクエストをオープンしてください。
脆弱性のある製品
Collaboration and Social Media
エンドポイント クライアントとクライアント ソフトウェア
ネットワーク アプリケーション、サービス、およびアクセラレーション
ネットワークおよびコンテンツ セキュリティ デバイス
ネットワーク管理とプロビジョニング
Routing and Switching - Enterprise and Service Provider
ルーティングおよびスイッチング - スモール ビジネス
Unified Computing
ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス
音声およびユニファイド コミュニケーション デバイス
ワイヤレス
次のシスコサービスは、このアドバイザリに記載された1つ以上の脆弱性の影響を受けることが判明しています。
- Cisco SocialMiner(CSCup24081)
- Cisco WebEx Meetings Serverバージョン1.x(CSCup22555)
- Cisco WebEx Meetings Serverバージョン2.x(CSCup22555)
- Cisco WebEx Node for MCS(CSCup34787)
エンドポイント クライアントとクライアント ソフトウェア
- Cisco Agent for OpenFlow(CSCup24058)
- Android向けCisco AnyConnectセキュアモビリティクライアント(CSCup22547)
- デスクトッププラットフォーム向けCisco AnyConnectセキュアモビリティクライアント(CSCup22547)
- iOS向けCisco AnyConnectセキュアモビリティクライアント(CSCup22547)
- Cisco Jabber for Android(CSCup23952)
- Cisco Jabber for iOS(CSCup23957)
- Cisco Jabber for Mac(CSCup23910)
- Cisco Jabber Guest(CSCup65216)
- Cisco Jabberソフトウェア開発キット(CSCup23934)
- Cisco Jabber Video for TelePresence(Movi)(CSCup24126)
- Cisco Jabber Video for iPad(CSCup23942)
- Cisco Jabber Voice for Android(CSCup23938)
- Cisco Jabber Voice for iPhone(CSCup23948)
- Cisco Jabber for Windows(CSCup23913)
- Cisco WebEx Connect Client for Windows(CSCup23973)
- Cisco WebEx Meetings Server(クライアント)(CSCup22614)
- BlackBerry向けCisco WebEx会議(CSCup22617)
- Cisco WebEx生産性向上ツール(CSCup22568)
ネットワーク アプリケーション、サービス、およびアクセラレーション
- Cisco ACEアプリケーションコントロールエンジンモジュール(ACE10、ACE20)(CSCup28056)
- Cisco ACEアプリケーションコントロールエンジンモジュール(ACE30)(CSCup22544)
- Cisco ACE Application Control Engineアプライアンス(ACE4710)(CSCup22544)
- Cisco Wide Area Application Services(WAAS)(CSCup22648)
ネットワークおよびコンテンツ セキュリティ デバイス
- Cisco適応型セキュリティアプライアンス(ASA)ソフトウェア(CSCup22532)
- Cisco ASA CX Context-Aware Security(CSCup24314)
- Ciscoコンテンツセキュリティ管理アプライアンス(SMA)(CSCup22506)
- Cisco Eメールセキュリティアプライアンス(ESA)(CSCup21571)
- Cisco NACアプライアンス(Clean Access Server)(CSCup24014)
- Cisco NAC Manager(Clean Access Manager)(CSCup24028)
- Cisco NACゲストサーバ(CSCup24002)
- Cisco IPS(CSCup22652)
- Cisco Identity Service Engine(ISE)(CSCup22534)
- Cisco Physical Accessゲートウェイ(CSCup22414)
- Cisco Secure Access Control Server(ACS)(CSCup22665)
- Cisco Small Business ISA500シリーズ統合型セキュリティアプライアンス(CSCup24029)
- Cisco Virtual Security Gateway for Microsoft Hyper-V(CSCup22419)
- VMware向けCisco Virtual Security Gateway(CSCup22419)
- Cisco Webセキュリティアプライアンス(WSA)(CSCup22522)
ネットワーク管理とプロビジョニング
- Cisco Application Policy Infrastructure Controller(APIC)(CSCup22625)
- Cisco Application Networking Manager(ANM)(CSCup24492)
- Cisco Common Services Platform Collector(CSCup24136)
- Cisco MATE製品(CSCup22446)
- Cisco Prime Access Registrar(CSCup23967)
- Cisco Prime Collaboration導入(CSCup23962)
- Cisco Prime Collaboration Provisioning 10.5(CSCup23964)
- Cisco Prime Data Center Network Manager(DCNM)(CSCup22646)
- Cisco Prime Infrastructure(CSCup22623)
- Cisco Prime IP Express(CSCup39248)
- Cisco Prime LAN Management Solution(LMS)(CSCup22054)
- Cisco Prime LAN Management Solution(LMS)- Solaris(CSCus55522)
- Cisco Prime License Manager(CSCup23915)
- Cisco Prime Network(CSCup22047)
- Cisco Prime Network Analysis Module(NAM)(CSCup24103)
- Cisco Prime Network Services Controller(PNSC)(CSCup22613)
- Cisco Prime Network Registrar(CPNR)(CSCup22498)
- SP向けCisco Prime Optical(CSCup22035)
- SP向けCisco Prime Performance Manager(CSCup22038)
- Cisco Quantum Policy Suite(QPS)(CSCup24089)
- Cisco Security Manager(CSCup22582)
- Cisco Network Registarセキュリティモジュール(CSCup44973)
Routing and Switching - Enterprise and Service Provider
- Cisco 1000シリーズConnected Gridルータ(CSCup24084)
- Cisco CSS 11500シリーズコンテンツサービススイッチ(CSCup28017)
- Cisco IOSソフトウェア(CSCup22590)
- Cisco IOS XEソフトウェア(CSCup22487)
- Cisco IOS XRソフトウェア(CSCup22654)
- Cisco MDSスイッチ(CSCup22563)
- Cisco Metro Ethernet 1200シリーズアクセスデバイス(CSCup70117)
- Cisco MXE 3500シリーズ(CSCup22361)
- Cisco MXE 5600シリーズ(CSCup2236)
- Cisco Nexus 1000V Intercloud(CSCup22571)
- Microsoft Hyper-V向けCisco Nexus 1000Vスイッチ(CSCup23937)
- VMware vSphere向けCisco Nexus 1000Vスイッチ(CSCup22641)
- Cisco Nexus 1010 Virtual Services Appliance(CSCup22643)
- Cisco Nexus 1100仮想サービスアプライアンス(CSCup22643)
- Cisco Nexus 2000シリーズファブリックエクステンダ(CSCup22365)(CSCup22663)
- Cisco Nexus 3000シリーズスイッチ(CSCup44235)
- Cisco Nexus 3164スイッチ(CSCup24057)
- Cisco Nexus 5000シリーズスイッチ(CSCup22365)(CSCup22663)
- Cisco Nexus 5600シリーズスイッチ(CSCup22365)(CSCup22663)
- Cisco Nexus 6000シリーズスイッチ(CSCup22365)(CSCup22663)
- Cisco Nexus 7000シリーズスイッチ(CSCup22563)
- Cisco Nexus 9000シリーズスイッチ(CSCup24057)
- Cisco OnePKオールインワンVM(CSCup22592)
- Cisco ONS 15400シリーズ(CSCup24077)
ルーティングおよびスイッチング - スモール ビジネス
- Cisco RV180W Wireless-N VPNルータ(CSCuo18692)
- Cisco RV220W Wireless-N VPNルータ(CSCuo18692)
- Cisco WAG310G Wireless-G ADSL2+ゲートウェイVoIP(CSCup22426)
Unified Computing
- Cisco UCS Bシリーズ(ブレード)サーバ(CSCup22565)
- Cisco UCS Cシリーズ(スタンドアロンラック)サーバ(CSCup22566)
- Cisco UCS Central(CSCup22584)
- Cisco UCSファブリックインターコネクト(CSCup53743)
- Cisco UCS Invictaシリーズソリッドステートシステム(CSCup22388)
ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス
- Cisco D9036 Modular Encoding Platform(CSCup23995)
- Cisco Digital Media Manager(DMM)(CSCup24174)
- Cisco Edge 300デジタルメディアプレーヤー(CSCup24260)
- Cisco Edge 340デジタルメディアプレーヤー(CSCup24248)
- Cisco Digital Media Player(DMP)4300シリーズ(CSCup92446)
- Cisco Digital Media Player(DMP)4400シリーズ(CSCup92446)
- Cisco Expresswayシリーズ(CSCup25151)
- Cisco Enterprise Content Delivery System(ECDS)(CSCup24139)
- Cisco Hosted Collaboration Mediation Fulfillment(HCM-F)(CSCup24156)
- Cisco Internet Streamer(CDS)(CSCup30939)
- Cisco IP Video Phone E20(CSCup23984)
- Cisco MediaSense(CSCup24113)
- Cisco PowerVu D9190 Conditional Access Manager(PCAM)(CSCup24013)
- Cisco TelePresence Advanced Media Gatewayシリーズ(CSCup29733)
- Cisco TelePresence Conductor(CSCup22610)
- Cisco TelePresence Content Server(TCS)(CSCup22349)
- Cisco TelePresence EXシリーズ(CSCup25163)
- Cisco TelePresence Exchange System(CTX)(CSCup23979)
- Cisco TelePresence Integrator Cシリーズ(CSCup25163)
- Cisco TelePresence IP Gatewayシリーズ(CSCup22636)
- Cisco TelePresence IP VCRシリーズ(CSCup23998)
- Cisco TelePresence ISDN GW 3241(CSCup22632)
- Cisco TelePresence ISDN GW MSE 8321(CSCup22632)
- Cisco TelePresence ISDN Link(CSCup23978)
- Cisco TelePresence MCU全シリーズ(CSCup23994)
- Cisco TelePresence Multipoint Switch(CTMS)(CSCup23980)
- Cisco TelePresence MXシリーズ(CSCup25163)
- Cisco TelePresence MXPシリーズ(CSCup23989)
- Cisco TelePresence Profileシリーズ(CSCup25163)
- Cisco TelePresence Recording Server(CTRS)(CSCup22338)
- Cisco TelePresence Serial Gatewayシリーズ(CSCup22633)
- Cisco TelePresence Server 8710、7010(CSCup22629)
- Cisco TelePresence Server on Multiparty Media 310、320(CSCup22629)
- 仮想マシン上のCisco TelePresence Server(CSCup22629)
- Cisco TelePresence Supervisor MSE 8050(CSCup22635)
- Cisco TelePresence SXシリーズ(CSCup25163)
- Cisco TelePresenceシステム1000(CSCup22603)
- Cisco TelePresenceシステム1100(CSCup22603)
- Cisco TelePresenceシステム1300(CSCup22603)
- Cisco TelePresence 1310(CSCup22603)
- Cisco TelePresence System 3000シリーズ(CSCup22603)
- Cisco TelePresenceシステム500-32(CSCup22603)
- Cisco TelePresenceシステム500-37(CSCup22603)
- Cisco TelePresence TX 9000シリーズ(CSCup22603)
- Cisco TelePresence Tシリーズ(T3)(CSCup25163)
- Cisco TelePresence Video Communication Server(VCS)(CSCup25151)
- Tandberg Codian ISDN GW 3210/3220/3240(CSCup22632)
- Tandberg Codian MSE 8320モデル(CSCup22632)
- Tandberg 770/880/990 MXPシリーズ(CSCup23989)
- Cisco Video Surveillance 3000シリーズIPカメラ(CSCup22372)
- Cisco Video Surveillance 4000シリーズIPカメラ(CSCup22381)
- Cisco Video Surveillance 4300E/4500E高解像度IPカメラ(CSCup22377)
- Cisco Video Surveillance 6000シリーズIPカメラ(CSCup22372)
- Cisco Video Surveillance 7000シリーズIPカメラ(CSCup22372)
- Cisco Video Surveillance PTZ IPカメラ(CSCup22372)
- Cisco Videoscape AnyRes Live(CAL)(CSCup24177)
- Cisco Virtualization Experience Media Engine(CSCup47300)
音声およびユニファイド コミュニケーション デバイス
- Cisco Unified Contact Center EnterpriseおよびHosted向けCisco Agent Desktop(CSCup24189)
- Cisco Unified Contact Center Express向けCisco Agent Desktop(CSCup34257)
- Cisco ATA 187アナログ電話アダプタ(CSCup24458)
- Cisco ATA 190シリーズアナログ電話アダプタ(CSCup24100)
- Cisco Desktop Collaboration Experience DX650(CSCup22514)
- Cisco Emergency Responder(CER)(CSCup24079)
- Cisco Paging Server(CSCup24093)
- Cisco SPA112 2ポート電話アダプタ(CSCup24514)
- ルータ内蔵Cisco SPA122 ATA(CSCup24514)
- Cisco SPA232D Multi-Line DECT ATA(CSCup24514)
- Cisco SPA300シリーズIP Phone(CSCup39003)
- Cisco SPA500シリーズIP Phone(CSCup39003)
- Cisco SPA510シリーズIP Phone(CSCup39003)
- Cisco SPA525シリーズIP Phone(CSCup38998)
- Cisco TAPIサービスプロバイダー(TSP)(CSCup35534)
- Cisco Computer Telephony Integration Object Server(CTIOS)(CSCup24074)
- Cisco Unified Attendant Console(全エディション)(CSCup23967)
- Cisco Unified Attendant Console Advanced(CSCup24304)
- Cisco Unified Communications 500シリーズ(CSCup22590)
- Cisco Unified Communications Manager(UCM)(CSCup22670)
- Cisco Unified Communications Manager Session Management Edition(SME)(CSCup22670)
- Cisco Unified Communicationsウィジェットのクリックツーコール(CSCup30489)
- Cisco Unified Contact Center Enterprise(CSCup24074)
- Cisco Unified Contact Center Express(CSCup24073)
- Cisco Unified Domain Manager(CSCup24018)
- Cisco Unified 6901/6911 IP Phone(CSCuq05675)
- Cisco Unified 6945 IP Phone(CSCuq05680)
- Cisco Unified 6921/6941/6961シリーズIP Phone(CSCup22596)
- Cisco Unified 7800シリーズIP Phone(CSCup22531)
- Cisco Unified 7900シリーズIP Phone(CSCup22595)
- Cisco Unified 8831 IP Phone(CSCup22638)
- Cisco Unified 8941 IP Phone(CSCup22598)
- Cisco Unified 8945 IP Phone(CSCup22598)
- Cisco Unified 8961 IP Phone(CSCup22539)
- Cisco Unified 9951 IP Phone(CSCup22539)
- Cisco Unified 9971 IP Phone(CSCup22539)
- Cisco Unified IM and Presence Services(CUPS)(CSCup22627)
- Cisco Unified Intelligent Contact Management(ICM)Enterprise(CSCup24074)
- Cisco Unified IP Conference Phone 8831(CSCup37353)
- Cisco Unified Wireless IP Phone 2920シリーズ(CSCup37238)
- Cisco Unified Workforce Optimization(CSCup22397)
- Cisco Unity Connection(UC)(CSCup24038)
ワイヤレス
- Ciscoモビリティサービスエンジン(MSE)(CSCup22619)
- V3.4.2.xソフトウェアを実行しているCisco Universal Small Cell 5000シリーズ(CSCup22656)
- V3.4.2.xソフトウェアを実行しているCisco Universal Small Cell 7000シリーズ(CSCup22656)
- CiscoワイヤレスLANコントローラ(WLC)(CSCup22587)
- Small Cell Factory Recovery root Filesystem V2.99.4以降(CSCup22656)
次のシスコサービスは、このアドバイザリに記載された1つ以上の脆弱性の影響を受けることが判明しています。
- Cisco USC Invictaシリーズ自動サポートポータル(CSCup22667)
- Cisco Proactive Network Operations Center(CSCup24163)
- Cisco Registered Envelope Service(CRES)(CSCup22537)
- Cisco Smart Call Home(CSCup24112)
- Cisco Smart Care(CSCup24109)
- Cisco WebEx Messengerサービス(CSCup21560)
脆弱性を含んでいないことが確認された製品
注:次のリストには、お客様が用意したホスト(物理サーバまたは仮想マシン)に、お客様が用意したオペレーティングシステムとともにインストールすることを目的としたシスコのアプリケーションが含まれています。これらの製品は、シスコ製品がインストールされているホストオペレーティングシステムで提供されるTransport Layer Security(TLS)またはDatagram Transport Layer Security(DTLS)機能を使用できます。これらのシスコ製品には該当バージョンのOpenSSLが直接含まれていないため、この脆弱性の影響を受けることはありませんが、オペレーティングシステムのベンダーの推奨事項とオペレーティングシステムのセキュリティに関する一般的なベストプラクティスに従って、ホストオペレーティングシステムのインストールを確認し、この脆弱性に対処するために必要なアップグレードを実行することをお勧めします。
次のシスコ製品は分析済みであり、この脆弱性の影響を受けません。
Collaboration and Social Media
エンドポイント クライアントとクライアント ソフトウェア
ネットワーク アプリケーション、サービス、およびアクセラレーション
ネットワークおよびコンテンツ セキュリティ デバイス
ネットワーク管理とプロビジョニング
Routing and Switching - Enterprise and Service Provider
音声およびユニファイド コミュニケーション デバイス
ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス
シスコ ホステッド サービス
次のシスコ製品は分析済みであり、この脆弱性の影響を受けません。
Collaboration and Social Media
- Cisco WebEx Social
エンドポイント クライアントとクライアント ソフトウェア
- Cisco IP Communicator
- Cisco NAC Agent for Mac
- Cisco NAC Agent for Web
- Cisco NAC Agent for Windows
- Cisco UC Integration for Microsoft Lync
- Cisco Unified Personal Communicator
- Cisco Unified Video Advantage
- Webex生産性向上ツール
ネットワーク アプリケーション、サービス、およびアクセラレーション
- Cisco ACE GSS 4400 Series Global Site Selector
- Cisco Application and Content Networking System(ACNS)
- Cisco Extensible Network Controller(XNC)
- Cisco Wide Area Application Services(WAAS)モジュール
ネットワークおよびコンテンツ セキュリティ デバイス
- Cisco Adaptive Security Device Manager
- Cisco Content Security Appliance Updater Servers
- Cisco IronPort Encryption Appliance(IEA)
- Cisco Physical Access Manager
ネットワーク管理とプロビジョニング
- Cisco Digital Media Manager(DMM)
- Cisco Discovery サービス
- Cisco Insight Reporter
- Cisco Linear Stream Manager
- Cisco Prime Analytics
- Cisco Prime Cable Provisioning
- Cisco Prime Collaboration Assuranceマネージャ
- Cisco Prime Home
- Cisco Prime Provisioning for SPs
- Cisco Show and Share(SnS)
- Cisco Unified Intelligence Center
- Cisco Unified Provisioning Manager(CUPM)
- Cisco Wireless Control System(WCS)
- CiscoWorks Network Compliance Manager
- Prime Collaborationプロビジョニング – 10.0
Routing and Switching - Enterprise and Service Provider
- Cisco Broadband Access Center Telco Wireless
- Cisco Nexus 4000 シリーズ
音声およびユニファイド コミュニケーション デバイス
- Cisco Billing and Measurements Server
- Cisco Finesse
- Cisco MGC Node Manage(CMNM)
- Cisco PSTNゲートウェイ(PGW 2200)
- Cisco Remote Silent Monitoring
- Cisco SPA8000 8 ポート IP テレフォニー ゲートウェイ
- Cisco SPA8800 IP テレフォニー ゲートウェイ(4 FXS ポートと 4 FXO ポートを内蔵)
- Cisco Unified 3900 シリーズ IP フォン
- Cisco Unified Contact Centerドメインマネージャ
- Cisco Unified Contact Center Management Portal
- Cisco Unified Customer Voice Portal(CVP)
- Cisco Unified E-Mail Interaction Manager
- Cisco Unified Operations Manager(CUOM)
- Cisco Unified Service Monitor
- Cisco Unified Sip Proxy
- Cisco Unified Web Interaction Manager
- Cisco Virtual PGW 2200 ソフトスイッチ
- Exony VIM/CCDM/CCMP
ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス
- Cisco AnyRes VOD(CAV)
- Cisco D9034-S Encoder
- Cisco D9054 HDTV Encoder
- Cisco D9804 Multiple Transport Receiver
- Cisco D9824 Advanced Multi Decryption Receiver
- Cisco D9854/D9854-I Advanced Program Receiver
- Cisco D9858 Advanced Receiver Transcoder
- Cisco D9859 Advanced Receiver Transcoder
- Cisco D9865 Satellite Receiver
- Cisco DCM Series 9900-Digital Content Manager
- Cisco TelePresence Management Suite(TMS)
- Cisco TelePresence Management Suite Analytics Extension(TMSAE)
- Cisco TelePresence Management Suite Extension(TMSXE)
- Cisco TelePresence Management Suite Extension for IBM
- Cisco TelePresence Management Suite Provisioning Extension
- Cisco TelePresence Manager(CTSMan)
- Cisco Unified Service Statistics Manager
シスコ ホステッド サービス
- Cisco One Portal
- Cisco Services Provisioning Platform(SPP)
- Cisco SmartConnection
- Cisco SmartReports
- Cisco Unified Services Delivery Platform(CUSDP)
- Cisco Universal Small Cell CloudBase
- Cisco WebEx WebOffice および Workspace
- Cisco WebEx Messenger Service
詳細
OpenSSL Projectは、2014年6月5日に7件の脆弱性を公開しました。これら 1 つ以上の脆弱性は OpenSSL のクライアントとサーバの両方のインストール環境に影響を与えます。脆弱性の名称およびそれに関連する Common Vulnerabilities and Exposures(CVE)ID は次のとおりです。
シスコ製品がこれらの脆弱性から受ける影響は、製品ごとに異なります。
シスコ製品については、本ドキュメントの「該当製品」の項に記載されている Cisco Bug ID 情報を参照してください。追加情報と詳細手順は、製品ごとのシスコ インストレーション ガイド、コンフィギュレーション ガイド、およびメンテナンス ガイドに記載されています。さらなる説明やアドバイスが必要な場合は、お客様のサポートを担当する組織にお問い合わせください。
本脆弱性の ID は CVE ID CVE-2014-0224 です。
本脆弱性の ID は CVE ID CVE-2014-0221 です。
本脆弱性の ID は CVE ID CVE-2014-0195 です。
本脆弱性の ID は CVE ID CVE-2014-0198 です。
本脆弱性の ID は CVE ID CVE-2010-5298 です。
本脆弱性の ID は CVE ID CVE-2014-3470 です。
本脆弱性の ID は CVE ID CVE-2014-0076 です。
詳細については、OpenSSLプロジェクトのセキュリティアドバイザリ(http://www.openssl.org/news/secadv_20140605.txt)を参照してください。
シスコ製品がこれらの脆弱性から受ける影響は、製品ごとに異なります。
シスコ製品については、本ドキュメントの「該当製品」の項に記載されている Cisco Bug ID 情報を参照してください。追加情報と詳細手順は、製品ごとのシスコ インストレーション ガイド、コンフィギュレーション ガイド、およびメンテナンス ガイドに記載されています。さらなる説明やアドバイスが必要な場合は、お客様のサポートを担当する組織にお問い合わせください。
SSL/TLSの中間者攻撃に対する脆弱性
影響を受けるクライアントとサーバの間のトラフィックを代行受信する機能を持つ認証されていないリモートの攻撃者は、man-in-the-middle攻撃を正常に実行できる可能性があります。本脆弱性の ID は CVE ID CVE-2014-0224 です。
DTLS再帰欠陥の脆弱性
認証されていないリモートの攻撃者が、該当するクライアントを攻撃者の制御するサーバに接続するように誘導することで、巧妙に細工されたDTLSパケットを該当するデバイスに送信できる可能性があります。これにより、該当デバイスで部分的または完全なDoS状態が発生する可能性があります。本脆弱性の ID は CVE ID CVE-2014-0221 です。
DTLS無効フラグメントの脆弱性
認証されていないリモートの攻撃者が、巧妙に細工されたDTLSパケットを該当デバイスに送信し、バッファオーバーフロー状態を引き起こす可能性があります。これにより、攻撃者は昇格された特権で任意のコードを実行できる可能性があります。本脆弱性の ID は CVE ID CVE-2014-0195 です。
SSL_MODE_RELEASE_BUFFERS NULLポインタ逆参照の脆弱性
認証されていないリモートの攻撃者が、NULLポインタの逆参照をトリガーするように設計された悪意のある要求を送信する可能性があります。これにより、該当デバイスで部分的または完全なDoS状態が発生する可能性があります。本脆弱性の ID は CVE ID CVE-2014-0198 です。
SSL_MODE_RELEASE_BUFFERSセッションインジェクションまたはDoS脆弱性
認証されていないリモートの攻撃者が、コンテンツをパラレルコンテキストに挿入するように設計された悪意のある要求を送信したり、DoS状態を引き起こしたりする可能性があります。本脆弱性の ID は CVE ID CVE-2010-5298 です。
Anonymous ECDHのDoS脆弱性
影響を受けるクライアントを攻撃者の制御するサーバに接続するように誘導できる、認証されていないリモートの攻撃者は、NULLポインタの逆参照をトリガーするように巧妙に細工された証明書を送信する可能性があります。エクスプロイトに成功すると、攻撃者は DoS 状態を発生させることができます。本脆弱性の ID は CVE ID CVE-2014-3470 です。
ECDSA NONCEサイドチャネルリカバリ攻撃の脆弱性
該当デバイスでアプリケーションを実行する機能を持つ攻撃者は、サイドチャネル攻撃を介してECDSA暗号化マテリアルの一部を回復する可能性があります。これにより、攻撃者はネットワーク通信の保護に使用される暗号キーを再構築できる可能性があります。本脆弱性の ID は CVE ID CVE-2014-0076 です。
詳細については、OpenSSLプロジェクトのセキュリティアドバイザリ(http://www.openssl.org/news/secadv_20140605.txt)を参照してください。
回避策
特定のシスコ製品に利用可能な回避策については、Cisco Bug Search Tool で利用可能な Cisco Bug ID を参照してください。
シスコはこの脆弱性に対するEvent Responseを公開しています。
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_OpenSSL_06052014.html
シスコはこの脆弱性に対するEvent Responseを公開しています。
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_OpenSSL_06052014.html
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt のシスコ セキュリティ アドバイザリ、応答、および通知のアーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
推奨事項
$propertyAndFields.get("recommendations")
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例を確認していません。
これらの脆弱性は、2014年6月5日にOpenSSL Projectによって公開されました。
これらの脆弱性は、2014年6月5日にOpenSSL Projectによって公開されました。
URL
改訂履歴
| リビジョン 1.28 | 2015年3月27日 | 「調査中の製品」、「脆弱性あり」、および「脆弱性を含んでいないことが確認された製品」のセクションが更新されました。アドバイザリステータスはFinalに移行しましたが、これ以上の更新は予定されていません。 |
| リビジョン 1.27 | 2015年3月13日 | 「調査中の製品」、「脆弱性あり」、および「脆弱性を含んでいないことが確認された製品」のセクションが更新されました。 |
| リビジョン 1.26 | 2015年2月25日 | 「該当製品」および「脆弱性が存在することを確認したセクション」を更新。 |
| リビジョン 1.25 | 2015年1月26日 | 「該当製品」および「脆弱性を含んでいないことが確認された製品」のセクションを更新。 |
| リビジョン 1.24 | 2014-November-26 | 「該当製品」および「脆弱性を含んでいないことが確認された製品」のセクションを更新。 |
| リビジョン 1.23 | 2014-November-12 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.22 | 2014年10月30日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.21 | 2014年8月6日 | 「該当製品」セクションと「脆弱性のある製品」セクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.20 | 2014年7月30日 | Nexus 2000、5000、5600、および6000に関するセカンダリバグID CSCup22663を追加。「脆弱性のある製品」セクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.19 | 2014年7月23日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.18 | 2014年7月18日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.17 | 2014年7月14日 | 「該当製品」、「脆弱性が存在する製品」を更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.16 | 2014年7月9日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.15 | 2014年7月7日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.14 | 2014年7月3日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.13 | 2014年6月27日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.12 | 2014年6月25日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.11 | 2014年6月23日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.10 | 2014年6月20日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| Revision 1.9 | 2014年6月19日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.8 | 2014年6月18日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| Revision 1.7 | 2014年6月16日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| Revision 1.6 | 2014年6月13日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| Revision 1.5 | 2014年6月12日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.4 | 2014年6月11日 | 「該当製品」、「脆弱性が存在する製品」、「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.3 | 2014年6月10日 | 「該当製品」および「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。「脆弱性を含んでいないことが確認された製品」の項で、お客様が用意したオペレーティングシステムについて説明しました。 |
| リビジョン 1.2 | 2014年6月9日 | 「該当製品」および「脆弱性を含んでいないことが確認された製品」のセクションを更新。現在既知の該当製品のリンクされたバグID。 |
| リビジョン 1.1 | 2014年6月6日 | 「該当製品」および「脆弱性を含んでいないことが確認された製品」のセクションを更新。 |
| リビジョン 1.0 | 2014年6月5日 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。