OpenSSLハートビート拡張の脆弱性はNI製品にどのような影響がありますか?



使用ソフトウェア: LabVIEW Development Systems>>LabVIEW Base Development System
使用ソフトウェア・バージョン: N/A
使用ソフトウェア・バージョンに特化: N/A
二次のソフトウェア: N/A

問題:
OpenSSLハートビート拡張の脆弱性(別名「ハートブリード」)は、ナショナルインスツルメンツの製品にどのような影響を与えるのでしょうか。 この脆弱性の可能性は、NI-6KDFR4RC NIセキュリティ勧告としても報告されています。

解決策:
欠陥の詳細:
OpenSSL 1.0.1(バージョン1.0.1g前)で(1) TLSおよび(2) DTLSを実装すると、ハートビート拡張パケットが正しく処理されません。 この結果、リモート攻撃者がバッファオーバーリードを引き起こす精巧なパケットを使用して、プロセスメモリから機密情報を入手できるようになります。 この脆弱性は、ハートブリードバグとも呼ばれます。

影響:
OpenSSLを取り入れているナショナルインスツルメンツ製品は複数ありますが、CVE-2014-0160で説明したOpenSSLハートビート拡張の脆弱性の影響を受けるバージョンを使用しているものはありません。OpenSSL諮問委員会によると、1.0.1と1.0.2のベータリリースバージョンのOpenSSLのみに影響があります。

ソース:
NI製品セキュリティチームがこの勧告を発行しました。 この勧告に関するご質問は、security「アット(@)」 ni.comまでお寄せください。また、ナショナルインスツルメンツ製品のセキュリティの詳細については、www.ni.com/securityをご覧ください。

関連リンク:
外部リンク: Vulnerability Summary for CVE-2014-0160

添付:





報告日時: 04/16/2014
最終更新日: 04/17/2014
ドキュメントID: 6KDGSLSZ