OpenSSL の脆弱性 (CVE-2014-0160) に関する注意喚起

2014/4/9 (水）更新
平素は弊社サービスをご利用いただきましてありがとうございます。
このたび、暗号通信に利用されるの「OpenSSL」にリモートからメモリ内の情報が取得される可能性のある脆弱性が公表されましたため、問題の概要と弊社における対応について下記の通りご案内いたします。
お客様にはお手数をおかけいたしますが、サービスの安定的な運用を行うため、ご理解・ご協力の程、よろしくお願い申し上げます。
本件につきまして、お客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、同内容のお知らせメールの返信にてお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。

問題の概要

RedHat Enterprise Linux もしくは CentOS に含まれる openssl パッケージをご利用のサーバにおいて、遠隔の第三者によってメモリ内の情報が取得される可能性がございます。
この脆弱性には、CVE 識別番号として CVE-2014-0160 が割り当てられています。

CVE-2014-0160

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160&cid=2

詳細に関しましては、Japan Vulnerability Notes 等の情報もご参照ください。

影響を受けるOSとサーバ

本脆弱性は、OpenSSL を利用しているサーバすべてに影響するわけではございません

本脆弱性の影響を受けるパッケージ

Red Hat Enterprise Linux 6.x系 / CentOS 6.x系のサーバ
openssl 1.0.1e バージョンパッケージ

Microsoft Windows のサーバ
弊社サービス環境におきましては本脆弱性の影響はございません。

2014/4/9 10:30更新
Red Hat Enterprise Linux / CentOS 6.0 ～ 6.4 の場合でも、過去に openssl パッケージをアップデートしていると脆弱性の存在するパッケージがインストールされている場合があることが判明いたしましたので、アナウンス内容を訂正いたします。

対応策

OS のディストリビュータである Red Hat 社、ならびに CentOS Project より、本脆弱性を修正したパッケージが、提供されておりますので、openssl パッケージの更新をお勧めいたします。

※本脆弱性の影響があるかどうかを判別する方法
サーバに SSH でログインし、以下のコマンドを入力してください。
　● rpm -qa | egrep ‘^openssl-‘

特に何も表示されない場合には、openssl パッケージがインストールされておりませんので、脆弱性の影響はございません。openssl から始まる文字列が表示された場合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケージかどうかご確認ください。

お客様による OpenSSL アップデート方法

お客様にてアップデートを行われる場合には、修正済みパッケージをダウンロードいただき、更新作業を実施していただきます。具体的な手順につきましてはお客様による OpenSSL アップデート方法をご参照ください。

お客様による OpenSSL アップデート方法
https://www.sthark.com/support/news/20140408_openssl_update.htm

OpenSSL のバージョン確認

サーバ上の openssl パッケージが脆弱性対応済みのバージョンとなっているかを確認するには、以下の各 OS 毎のパッケージのバージョン情報をご参照ください。

Red Hat Enterprise Linux 6	openssl-1.0.1e-16.el6_5.7以降
CentOS 6	openssl-1.0.1e-16.el6_5.7以降

※2014年4月8日現在の情報となります。

問題の概要

CVE-2014-0160

OpenSSL の heartbeat 拡張に情報漏えいの脆弱性

TLS heartbeat read overrun (CVE-2014-0160) (開発元)