エンタープライズ IT ベンダーは、一部のサーバーやネットワーク機器で発見され、攻撃者が無防備なシステムのメモリからパスワードや暗号化キーなどの重要なデータを盗む可能性がある Heartbleed バグからユーザーを保護するために急いでいます。
Hewlett-Packard、Dell、IBM は、インターネットやネットワーク上で安全な通信を行うソフトウェア ライブラリである OpenSSL の特定のバージョンに重大な欠陥がある Heartbleed の影響を受けるハードウェアおよびソフトウェア製品を特定するページを開設しました。
先週詳細が明らかになったこのバグは、OpenSSLの新バージョンで既に修正されていますが、ハードウェアメーカー各社は、古いバージョンに依存する製品へのパッチ適用を急いでいます。HPのBladeSystems、IBMのAIXサーバー、そしてDellのアプライアンスおよびネットワーク機器向けに、ファームウェアとソフトウェアのパッチがリリースされています。サーバーメーカー各社は、顧客に対し、ハイパーバイザー、OS、ミドルウェアに潜在的な脆弱性がないか調査するよう勧告しています。
HPの一部サーバーは暗号化と安全な通信のためにOpenSSLを使用しており、HPのサポートページによると、同社は現在「現在サポートされているすべての製品について、Heartbleedバグへの脆弱性について積極的かつ包括的な調査を実施している」とのことだ。HPの広報担当者は月曜日のメールで、セキュリティアップデートはすべての顧客に無料で提供されると述べた。
パッチが到着中
HP は日曜日、Linux および Windows 上で OpenSSL を実行するサーバー管理ツール BladeSystem c-Class Onboard Administrator、Smart Update Manager、および System Management Homepage の一部のバージョン用のパッチをリリースしました。
HPは先週、ハートブリードの影響を受けるネットワーク機器をまだ特定していないが、製品の調査は継続すると述べた。
DellのPowerEdgeサーバーとOpenManageシステム管理製品は、Heartbleedの影響を受けない可能性が高い。しかし、Dellは包括的なHeartbleedアドバイザリの中で、このバグの影響を受けるシステム管理、セキュリティアプライアンス、およびネットワーク機器を特定した。
Dellは、Kace K3000モバイルデバイス管理アプライアンス、一部のFoglightネットワークアプライアンス、およびDellのネットワークオペレーティングシステム(FTOS)を搭載したネットワーク機器向けのパッチを開発中です。影響を受けるSonicWallセキュリティアプライアンス向けのファームウェアパッチはすでにリリースされており、Dellのウェブサイトのアドバイザリページは、他の製品向けの修正プログラムがリリースされた時点で更新されます。
IBMは、AIXサーバーに影響を与えるHeartbleedバグを発見しました。AIXサーバーは、TLS(トランスポート・セキュリティ・レイヤー)プロトコルを介してクラスター間の通信を実装するためにOpenSSLを使用しています。OpenSSLは、インターネット上での安全な通信のためにSSL(セキュア・ソケット・レイヤー)も有効化します。
IBMは、TL9プロトコル搭載のAIX 6.1 OSおよびTL3プロトコル搭載のAIX 7.1 OS搭載サーバー向けにOpenSSLパッチを公開しました。IBMはまた、AIXおよびLinux for Powerおよびx86サーバー向けのGPFS(General Parallel File System)バージョン3.4および3.5についても、新しいOpenSSLバージョンへのアップグレードを推奨しています。WebSphere MQ、Sametime Community Serverバージョン9 HF1、Cloudantなどのソフトウェアは、Heartlandのバグの影響を受けます。
IBM は勧告の中で、System Z サーバーの顧客が最新のパッチとソフトウェア更新を入手するために System z セキュリティ ポータルに登録することを推奨しました。
