日頃ペガサスIDCをご利用いただきましてありがとうございます。
OpenSSL Projectは5日、OpenSSLについての、6件の脆弱性情報を公表しました。そのうち1件(SSL/TLS MITM vulnerability :CVE-2014-0224)は、サーバとクライアントの両方が影響を受け、OpenSSLで保護していたはずの暗号通信の情報が漏洩する可能性があります。
攻撃は難しいながら成功した場合の影響が大きいということで、特に注意が呼びかけられています。
これは4月に公表された「Heartbleed OpenSSL Vulnerability」とは別の脆弱性となります。
お客様におかれましては対応をお願い申し上げます。
本脆弱性の影響を受けるパッケージ
クライアントではOpenSSLの全バージョン、サーバではOpenSSL 1.0.1/1.0.2-beta1が該当します。下記のバージョンの場合対策が必要です。
| RHEL 4 | openssl 0.9.7a |
| CentOS/RHEL 5 | openssl 0.9.8b / 0.9.8e もしくは openssl097a |
| CentOS/RHEL 6.0 | openssl 1.0.0 / openssl 1.0.1e もしくは openssl098e |
※2014年6月9日現在の情報となります。
■共用サーバーに関して
全てのサーバーでSSLアップデート対策を行いました。
■Root権限つき専用サーバー、クラウドVPSご利用のお客様に関して
SSLやSSHサービスをご利用の場合、個人情報などの漏洩につながりますので、該当サービスをご利用の方はバージョンの変更をしていただきますようお願い申し上げます。
Opensslのバージョンの調査方法は下記のコマンドをroot権限で行っていただくことでわかります。
脆弱性の影響があるかどうかを判別する方法サーバに SSH でログインし、以下のコマンドを入力してください。
rpm -qa | egrep ‘^openssl’特に何も表示されない場合には、openssl パッケージがインストールされておりま せんので、脆弱性の影響はございません。openssl から始まる文字列が表示された場 合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケージかどうかご確認ください。
本問題が解決済みのバージョン
| RHEL 4 | openssl 0.9.7a-43.22.el4以降 |
| CentOS/RHEL 5 | openssl 0.9.8e-27.el5_10.3以降 もしくは openssl097a-0.9.7a-12.el5_10.1以降 |
| CentOS/RHEL 6 | openssl 1.0.1e-16.el6_5.14以降 もしくは openssl098e-0.9.8e-18.el6_5.2 |
※2014年6月9日現在の情報となります。
該当バージョンの場合の 解決方法は下記の通りとなります
OSがCentOSの場合のHTTPサーバの解決方法
※CentOS 4は、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
Apacheの場合
# yum update openssl mod_ssl
# /etc/init.d/httpd restartNginxの場合
# yum update openssl nginx
# /etc/init.d/nginx restartSSLキーを利用したサービスをご利用の場合
該当バージョンをご利用のお客様で、SSHやメールサーバー、WEBサーバーでSSL証明書を利用している場合一旦破棄して再度申請するなどが必要がございます。再発行に関しては詳しくは証明書発行機関にお問い合わせください。また、独自証明書をご利用の場合(証明書発行機関を利用しない証明書を利用の場合)も、一旦破棄して再度証明書を発行頂く必要がございます。
今後ともサービスの向上に努めて参りますのでどうぞよろしくお願い申し上げます。
この文書に記載された情報は、論点についての発行時における Absolute Zero Ltd. の見解です。 Absolute Zero ltd. は移り変わる市場の状況に対応する必要があるため、この見解は Absolute Zero Ltd.の確約であると解釈されるべきではなく、 Absolute Zero Ltd. は発行日以後、本書に記載されたいかなる情報の正確性も保証できません。この文書は、情報提供のみを目的としています。この文書内の情報は、明示的にも暗示的にも Absolute Zero Ltd. が保証するものではありません。
