日頃ペガサスIDCをご利用いただきましてありがとうございます。
昨日4/6日に各報道期間でアナウンスされております、オープンソースのSSL/TLS暗号化ライブラリ、「OpenSSL」のバージョン1.0.1/1.0.2系に、秘密鍵などの漏えいにつながる恐れのある深刻な脆弱性が発見されました。弊社におきましても、調査をさせていただきましたので、ご報告申し上げます。
■共用サーバーに関して
調査の結果、弊社提供の共用サーバーすべての環境におきまして、調査致しました。
弊社の共用サーバー全タイプにおきまして、Open SSLは0.9.8系を利用しており、
OpenSSLの1.0.1、OpenSSLの1.0.2系の該当バージョンは利用しておらず、
これまでどおりご安心してご利用頂ければ幸いでございます。
■Root権限つき専用サーバー、クラウドVPSご利用のお客様に関して
CentOS5系ユーザーのお客様の場合で、OpenSSL 0.9.8系/1.0.0系については今回の事案は該当いたしませんが、CentOS6系の場合、デフォルトでOpenSSLの1.0.1e系となり、該当するバージョンである可能性があります。
CentOS6系のお客様に関しましては、SSLやSSHサービスをご利用の場合、個人情報などの漏洩につながりますので、バージョンの変更をしていただきますようお願い申し上げます。
OpenSSL 1.0.1(及びOpenSSL1.0.2-beta)に重大な脆弱性が発見されました。下記に記載するディストリビューションについては脆弱性のある問題を含む可能性があります:
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)OpenSSL 0.9.8系/1.0.0系については、この脆弱性は存在しないとのことです。
Opensslのバージョンの調査方法は下記のコマンドをroot権限で行っていただくことでわかります。
OSがCentOS 6.Xの場合のHTTPサーバの確認方法
openssl-1.0.1e-16.el6_5.7以上がインストールされればOKです。
# yum list installed | grep openssl
openssl.x86_64 1.0.1e-16.el6_5.7
openssl-devel.x86_64 1.0.1e-16.el6_5.7#openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
セキュリティーアナウンスでは、1.0.1g以上という表記がありますが、CentOSは、1.0.1e-16.el6_5.7以上であれば今回の該当問題にはあたらないそうです。
該当バージョンの場合の 解決方法は下記の通りとなります
OSがCentOS 6.Xの場合のHTTPサーバの解決方法
Apacheの場合
# yum update openssl mod_ssl
# /etc/init.d/httpd restartNginxの場合
# yum update openssl nginx
# /etc/init.d/nginx restartSSLキーを利用したサービスをご利用の場合
該当バージョンをご利用のお客様で、SSHやメールサーバー、WEBサーバーでSSL証明書を利用している場合一旦破棄して再度申請するなどが必要がございます。再発行に関しては詳しくは証明書発行機関にお問い合わせください。また、独自証明書をご利用の場合(証明書発行機関を利用しない証明書を利用の場合)も、一旦破棄して再度証明書を発行頂く必要がございます。
今後ともサービスの向上に努めて参りますのでどうぞよろしくお願い申し上げます。
この文書に記載された情報は、論点についての発行時における Absolute Zero ltd. の見解です。 Absolute Zero ltd. は移り変わる市場の状況に対応する必要があるため、この見解は Absolute Zero ltd.の確約であると解釈されるべきではなく、 Absolute Zero ltd. は発行日以後、本書に記載されたいかなる情報の正確性も保証できません。この文書は、情報提供のみを目的としています。この文書内の情報は、明示的にも暗示的にも Absolute Zero ltd. が保証するものではありません。