OneSpan製品におけるOpenSSL Heartbleedの脆弱性

アドバイザリーID vasco-sa-20140417-heartbleed

改訂番号 1.3

リリース日 2014年4月17日午後2時45分(UTC + 1)

最後の更新 2014年5月12日午後2時45分UTC + 1

概要

複数のOneSpan製品には、認証されていないリモートの攻撃者がOneSpanクライアントまたはサーバー製品のメモリから64キロバイトの部分を取得できる脆弱性の影響を受けるOpenSSLライブラリのバージョンが組み込まれています。この脆弱性は、ハートブリードバグと呼ばれます。 

この脆弱性は、RFC 6520で指定されているように、トランスポート層セキュリティ(TLS)ハートビート拡張の処理で境界チェックが欠落していることが原因です。攻撃者は、影響を受けるサーバーの脆弱性を悪用しようとする場合、悪意のあるTLSクライアントを実装することにより、この脆弱性を悪用する可能性があります。エクスプロイトは、特別に細工されたハートビートパケットを接続されたクライアントまたはサーバーに送信する可能性があります。悪用により、攻撃者は、ハートビートパケットが送信されるたびに、接続されているクライアントまたはサーバーから64キロバイトのメモリを公開することができます。メモリの開示部分には、秘密鍵やアプリケーション固有のデータなどの機密情報が含まれる可能性があります。 

この脆弱性は、Common Vulnerabilities and Exposures ID CVE-2014-0160を使用して参照されます。

影響を受ける製品

次のOneSpan製品は、Heartbleedバグの影響を受けます。

  • パーソナルaXsGUARD 2.0.0
  • IDENTIKEY認証サーバー3.5およびパッチ3.5.1
  • IDENTIKEYアプライアンス3.5.7.0、3.5.7.1、および3.5.7.2
  • IDENTIKEY Virtual Appliance 3.5.7.0、3.5.7.1、および3.5.7.2
  • IDENTIKEY Federation Server 1.3および1.4
  • MYDIGIPASS.COM
  • Windowsログオン1.2.0のDIGIPASS認証
  • LDAP同期ツール1.3.0
  • IIS 3.5.0のDIGIPASS認証、Citrix Webインターフェイス3.6.0のDIGIPASS認証、Outlook Web Access 3.5.0のDIGIPASS認証、リモートデスクトップWebアクセス3.5.0のDIGIPASS認証、SBR 3.5のDIGIPASS認証。

aXsGUARD GateKeeperアプライアンスおよびその他のOneSpan製品は、このバグの影響を受けません。

説明文

この脆弱性がOneSpan製品に与える影響は、影響を受ける製品によって異なります。この脆弱性の不正利用に成功すると、クライアントまたはサーバーのメモリの一部が開示される可能性があります。メモリの開示部分には、秘密鍵やアプリケーション固有のデータなどの機密情報が含まれる可能性があります。

重大度スコア

以下の表は、CVSS 2.0の脆弱性スコアを示しています。

CVSS基本スコア:5
アクセスベクター アクセスの複雑さ 認証 機密性への影響 完全性への影響 可用性への影響
通信網 無し 部分的 無し  無し

 

製品の修正

OneSpanは、2014年4月9日にMYDIGIPASS.COM認証サービスを更新しました。 
OneSpanは次の製品のパッチをリリースしました:

  • IDENTIKEY Federation Server 1.4.1、2014年4月10日にリリース
  • IDENTIKEY Federation Server 1.3.1、2014年4月11日にリリース
  • IDENTIKEY認証サーバー3.5.2、2014年4月18日にリリース
  • IDENTIKEY Appliance 3.5.7.3、2014年4月18日にリリース
  • IDENTIKEY Virtual Appliance 3.5.7.3、2014年4月18日にリリース
  • 2014年4月30日にリリースされたDIGIPASS Authentication for Windows Logon V1.2.1
  • 2014年5月9日にリリースされたLDAP同期ツールV1.3.2。
  • 2014年5月9日にリリースされたCitrix WebインターフェイスV3.6.1のDIGIPASS認証。
  • 2014年5月9日にリリースされたOWA Basic 3.5.1のDIGIPASS認証。
  • 2014年5月9日にリリースされたOWA Forms 3.5.1のDIGIPASS認証。
  • 2014年5月9日にリリースされたIIS Basic 3.5.1のDIGIPASS認証。
  • 2014年5月9日にリリースされたリモートデスクトップWebアクセス3.6.1のDIGIPASS認証。
  • 2014年5月9日にリリースされたSteel-Belted RADIUS Server 3.3.1のDIGIPASS認証。

 

OneSpanは次のパッチをリリースします。

  • パーソナルaXsGUARD 2.1.0

 

影響を受ける製品をお持ちのお客様は、脆弱性を軽減するために次の3つの手順を実行する必要があります。

  • 手順1:OneSpanが提供する修正済みの製品リリースを使用して、影響を受けるすべての製品をアップグレードする
  • ステップ2: SSL / TLS秘密鍵を取り消し、新しい鍵ペアと証明書を発行します。 このバグのため、SSL / TLS秘密鍵が危険にさらされていることを排除することはできません。したがって、お客様は既存のキーペアと証明書を取り消し、新しいものを発行する必要があります。
  • ステップ3: SSL / TLSを使用して交換される機密データを更新します。 お客様は、SSL / TLSを介して交換される機密データ(ユーザーパスワード、クレジットカードの詳細など)が侵害されていないかどうかを評価する必要があります。この評価はお客様に固有のものです。機密データが影響を受ける場合、お客様はこのデータの更新も検討する必要があります。

ロケーション

保守契約を結んでいるお客様は、MyMaintenanceから固定製品リリースを入手できます。

参照

脆弱性に関連する公開ソースへの参照

http://heartbleed.com

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

ハートブリード2要素認証緊急治療室

金融機関におけるHeartbleed OpenSSLバグへの対処

MYDIGIPASS.COMのHeartbleed OpenSSLバグへの対処

2要素認証を使用したHeartbleedのようなバグに対する回復力の向上

法的放棄声明

本書に記載されているすべての内容と情報は、表現または保証がなく、明示的または黙示的な保証なしに、「現状のまま」かつ「入手可能な」状態で提供されます。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含む、いかなる保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。 

 

Copyright©2014 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。

One OneSpan製品におけるOpenSSL Heartbleedの脆弱性