印刷 ブックマーク 友達に教える トレンドマイクロ Q&Aページ

アラート/アドバイザリ: OpenSSL の脆弱性 (CVE-2014-0224) について

Solution ID
1103804
対象製品 
All Products; 
対象OS 
N/A - N/A 
公開日 
2014/06/06 4:12 午後 
最終更新日 
2014/07/15 1:35 午後 

OpenSSL の脆弱性 CVE-2014-0224 によるトレンドマイクロ製品への影響を教えてください。

以下バージョンの OpenSSL にて、TLS/SSL ハンドシェイクにおける ChangeCipherSpec メッセージの処理に脆弱性が存在することが報告されています。この脆弱性が悪用されると、OpenSSL を使用して保護されていたサーバ及びクライアント間の通信が中間者攻撃 (man-in-the-middle attack) により搾取・改ざんされる可能性があります。
  • 1.0.2-beta1 (サーバ)
  • 1.0.1h 未満 (サーバ/クライアント)
  • 1.0.0m 未満 (クライアント)
  • 0.9.8za 未満 (クライアント)
トレンドマイクロでは、現在弊社製品における該当脆弱性の影響の有無について確認しています。最新情報のアップデートは、随時本ページの更新にて行う予定です。

該当脆弱性の影響が無い製品

製品名バージョン影響度備考
ウイルスバスターコーポレートエディション 全バージョン 影響なし  
ウイルスバスタービジネスセキュリティ 全バージョン 影響なし  
ウイルスバスタービジネスセキュリティサービス 全バージョン 影響なし  
ServerProtect for Windows / NetApp / EMC 全バージョン 影響なし  
Interscan for Microsoft Exchange 全バージョン 影響なし  
Interscan for (IBM/Lotus) Domino 全バージョン 影響なし  
Interscan Web Security Suite
Linux版/Windows版/Solaris版
3.1 影響なし  
InterScan Messaging Security Suite Linux版 7.0, 7.1 影響なし  
PortalProtect 全バージョン 影響なし  
Trend Micro Safe Lock 全バージョン 影響なし  
Trend Micro USB Security 全バージョン 影響なし  
Customer Licensing Portal N/A 影響なし  
License Management Platform N/A 影響なし  
Trend Micro SSL N/A 影響なし  
Trend Micro Security (for Mac) 全バージョン 影響なし  
Interscan Web Manager 全バージョン 影響なし  
Trend Micro Portable Security 1.x 影響なし  
Trend Micro Smart Scan Server / Smart Protection Server 全バージョン 影響なし  
Network VirusWall Enforcer 全バージョン 影響なし  
Deep Discovery / Deep Discovery Inspector 全バージョン 影響なし  
Trend Micro Control Manager 全バージョン 影響なし  
InterScan Virus Wall Standard Edition 全バージョン 影響なし  
Trend Micro Hosted Email Security 全バージョン 影響なし  

Webコンソールの表示のみ該当脆弱性の影響を受ける製品

下表内の製品は、Webコンソールの表示に関するトラフィックの暗号化のみの目的で脆弱性の影響を受けるOpenSSLを利用していますが、以下の理由から脆弱性の影響を受ける可能性は極めて低いと判断できます。
  • 攻撃者が該当脆弱性を悪用するためには、クライアント側でも脆弱性のあるOpenSSLを利用している事が大前提となりますが、一般的なWebブラウザ(Internet Explorer , Firefox , Google Chrome等)ではOpenSSLを利用していません
  • 攻撃者が該当脆弱性を悪用するためには、クライアントとサーバ間のトラフィックを傍受する必要がありますので、下表内の製品のWebコンソールをインターネット上に公開するような運用をしていない限り、該当脆弱性の影響を受ける可能性はほぼ無いと言えます
製品名バージョン影響度備考
ServerProtect for Linux 全バージョン 微細 OpenSSLのバージョンを更新するための修正プログラムをリリースする予定

Trend Micro Deep Security での対応について

Trend Micro Deep Security では、最新のセキュリティアップデート(DSRU14-019)にて本脆弱性に対応しています。

該当脆弱性の影響度が極めて低い製品

下表内の製品は、製品内で脆弱性の影響を受けるOpenSSLを利用していますが、以下の理由から脆弱性の影響を受ける可能性は極めて低いと判断できます。
  • 本脆弱性を利用するには複数のステップを必要とし、またセキュリティを確保した環境で本脆弱性を悪用する難易度は極めて高いため、影響度は微細と判断しています。
  • 攻撃者が該当脆弱性を悪用するためには、クライアントとサーバ間のトラフィックを傍受する必要がありますので、該当製品の通信がセキュリティを確保した適切なネットワークを経由することで、攻撃を受ける可能性を最小化することができます。
製品名バージョン影響度備考
InterScan Messaging Security Suite Windows 版 7.1 微細 次期Patchでリリースする予定
InterScan Messaging Security Virtual Appliance 8.2
8.5
微細 次期Patchでリリースする予定
InterScan Web Security Suite 5.6 微細 次期バージョンでリリースする予定
InterScan Web Security Virtual Appliance 5.6 微細 次期バージョンでリリースする予定
Trend Micro Portable Security
2.0 微細

次期Patchでリリースする予定
(2014/07/15日更新)

Trend Micro Deep Security 9.0
8.0
7.5
次期バージョンでリリースする予定
※バージョン9.0 では、Service Pack 1 Patch4 以降で対応予定となります。

Trend Micro Mobile Security

9.0
8.0

次期Patchでリリースする予定

Trend Micro Mobile Security

7.0

8.0へバージョンアップしてください

このソリューションに関して、ご意見をお聞かせください。

  • このソリューションは問題解決に役に立ちましたか。

  • このソリューションの内容を改善するために、ご提案/ご意見がありましたらお聞かせください。
    • ※こちらに技術的なご質問などをいただきましてもご返答する事ができません。
      何卒ご了承いただきますようお願いいたします。

再検索する

検索

こんなQ&Aもチェックされています

問い合わせする

お役立ち情報