2014年4月9日、The Heartbleedの脆弱性がOpenSSLチームによって開示されました。

Heartbleed Bugは、一般的なOpenSSL暗号化ソフトウェアライブラリの重大な脆弱性です。この脆弱性により、通常の条件下では、インターネットを保護するために使用されるSSL / TLS暗号化によって保護されている情報を盗むことができます。

heartbleedに対して脆弱なエンタープライズネットワーキングデバイスのリストを作成できますか？

新しい脆弱性と同様に、その影響は広範囲に及びます。インフラストラクチャデバイスも同様です。それらのほとんどには、脆弱なOpenSSLパッケージが組み込まれています。

すべての脆弱な製品^1のリストをコンパイルすることはほとんど不可能です。これは、ハートブリードパッチがOpenSSL安定ブランチにコミットされるまで、元のOpenSSL TLSハートビート実装で構築されたOpenSSLライブラリを含むすべてに影響します。ただし、主要ベンダーの製品をここにリストできます。

これはコミュニティWikiです。気軽に投稿してください。

アルバ

• ArubaOS 6.3.x、6.4.x
• ClearPass 6.1.x、6.2.x、6.3.x
• これらの製品の以前のバージョンは、脆弱性のない OpenSSLの以前のバージョンを使用していました。

^{OpenSSL 1.0.1ライブラリ（Heartbleed）の脆弱性。}

チェックポイントネットワーク

SK 100173は、チェックポイント製品は脆弱ではないと断言しています。

シスコ

次のシスコ製品はこの脆弱性の影響を受けます。

• iOS用Cisco AnyConnectセキュアモビリティクライアント[CSCuo17488]
• Cisco Desktop Collaboration Experience DX650
• Cisco Unified 7800シリーズIP電話
• Cisco Unified 8961 IP Phone
• Cisco Unified 9951 IP電話
• Cisco Unified 9971 IP Phone
• Cisco IOS XE [CSCuo19730]
• Cisco Unified Communications Manager（UCM）10.0
• V3.4.2.xソフトウェアを実行するCisco Universal Small Cell 5000シリーズ
• V3.4.2.xソフトウェアを実行しているCisco Universal Small Cell 7000シリーズ
• スモールセルファクトリーリカバリルートファイルシステムV2.99.4以降
• Cisco MS200Xイーサネットアクセススイッチ
• Cisco Mobility Service Engine（MSE）
• Cisco TelePresenceビデオ通信サーバー（VCS）[CSCuo16472]
• Cisco TelePresence Conductor
• Cisco TelePresence Supervisor MSE 8050
• Cisco TelePresence Server 8710、7010
• マルチパーティメディア上のCisco TelePresence Server 310、320
• 仮想マシン上のCisco TelePresence Server
• Cisco TelePresence ISDN Gateway 8321および3201シリーズ
• Cisco TelePresence Serial Gatewayシリーズ
• Cisco TelePresence IP Gatewayシリーズ
• Cisco WebEx Meetings Serverバージョン2.x [CSCuo17528]
• Cisco Security Manager [CSCuo19265]

^{シスコセキュリティアドバイザリ-複数のシスコ製品におけるOpenSSL Heartbeat Extensionの脆弱性}

D-Link

2014年4月15日現在、D-Linkには脆弱な製品はありません。

^{D-Linkデバイスおよびサービスのセキュリティインシデントレスポンス}

軽減する

• FortiGate（FortiOS）5.x
• FortiAuthenticator 3.x
• FortiMail 5.x
• FortiVoice
• FortiRecorder
• FortiADC Dシリーズモデル1500D、2000D、および4000D
• FortiADC Eシリーズ3.x
• コヨーテポイントイコライザーGX / LX 10.x

^{OpenSSLの情報漏えいの脆弱性}

F5

2014年4月10日の時点で、以下のF5製品/リリースが脆弱であることが知られています。

• BigIP LTMバージョン11.5.0-11.5.1（Mgmtインターフェイス、互換SSL暗号）
• BigIP AAMバージョン11.5.0-11.5.1（Mgmtインターフェイス、互換SSL暗号）
• BigIP AFMバージョン11.5.0-11.5.1（Mgmtインターフェイス、互換SSL暗号）
• BigIP Analyticsバージョン11.5.0-11.5.1（Mgmtインターフェイス、互換SSL暗号）
• BigIP APMバージョン11.5.0-11.5.1（Mgmtインターフェイス、互換SSL暗号）
• BigIP ASMバージョン11.5.0-11.5.1（Mgmtインターフェイス、互換SSL暗号）
• BigIP GTMバージョン11.5.0-11.5.1（Mgmtインターフェイス、互換SSL暗号）
• BigIP Link Controllerバージョン11.5.0-11.5.1（Mgmtインターフェイス、互換SSL暗号）
• BigIP PEMバージョン11.5.0-11.5.1（Mgmtインターフェイス、互換SSL暗号）
• BigIP PSMバージョン11.5.0-11.5.1（Mgmtインターフェイス、互換SSL暗号）
• Apple iOSバージョン1.0.5、2.0.0-2.0.1（VPN）用のBIG-IP Edge Client
• Linuxバージョン6035〜7101（VPN）用のBIG-IP Edge Client
• Mac OSXバージョン6035〜7101（VPN）用のBIG-IP Edge Client
• Windowsバージョン6035〜7101（VPN）用のBIG-IP Edge Client

^{F5 Networks SOL 15159 OpenSSLの脆弱性CVE-2014-0160}

HP

4月10日現在

「調査した製品は脆弱ではないOpenSSLのバージョンを使用しているか、OpenSSLを使用していないため、脆弱ではないと判断しました。」

^{HPネットワーク通信：OpenSSL HeartBleedの脆弱性}

ファーウェイ

4月14日現在

調査は完了しており、一部のHuawei製品が影響を受けていることが確認されています。ファーウェイは修正計画を準備し、修正バージョンの開発とテストを開始しました。Huaweiは、できるだけ早くSAをリリースします。しばらくお待ちください。

^{セキュリティに関するお知らせ-OpenSSL Heartbeat Extensionの脆弱性に関する声明}

ジュニパー

脆弱な製品

• Junos OS 13.3R1
• Odysseyクライアント5.6r5以降
• SSL VPN（IVEOS）7.4r1以降、およびSSL VPN（IVEOS）8.0r1以降（修正コードは「ソリューション」セクションにリストされています）
• UAC 4.4r1以降、およびUAC 5.0r1以降（修正コードは「ソリューション」セクションにリストされています）
• Junos Pulse（デスクトップ）5.0r1以降、およびJunos Pulse（デスクトップ）4.0r5以降
• Network Connect（Windowsのみ）バージョン7.4R5から7.4R9.1および8.0R1から8.0R3.1。（このクライアントは、FIPSモードで使用される場合にのみ影響を受けます。）
• Androidバージョン4.2R1以降のJunos Pulse（モバイル）。
• iOSバージョン4.2R1以降のJunos Pulse（モバイル）。（このクライアントは、FIPSモードで使用される場合にのみ影響を受けます。）

^{Juniper Knowledge Center-2014-04 Out of Cycle Security Bulletin：OpenSSL「Heartbleed」問題の影響を受ける複数の製品（CVE-2014-0160）}

パロアルトネットワークス

PAN-OSはハートブリードの影響を受けませんでした

回避策

可能であればSSLを利用するリソースを無効にし、Mike Penningtonがコメントしたように脆弱ではないSSHに依存します。

¹ _{このリストは2014年4月10日に取得されたもので、ベンダーはまだ調査中の製品を持っている可能性があります。このリストは脆弱性のガイドラインではなく、元の投稿者にネットワーキング機器への影響の範囲を理解させるためのものです。}