OpenSSL の脆弱性 (CVE-2014-0224) に関する注意喚起(専用サーバ/Sola Cloud/NIFTY Cloud/鴻図雲シリーズ)

2014/6/9 (水） 更新
平素は弊社サービスをご利用いただきましてありがとうございます。
このたび、暗号通信に利用されるの「OpenSSL」にリモートから通信が盗聴および改ざんされる可能性のある脆弱性が公表されましたため、問題の概要と弊社における対応について下記の通りご案内いたします。
お客様にはお手数をおかけいたしますが、サービスの安定的な運用を行うため、ご理解・ご協力の程、よろしくお願い申し上げます。
本件につきまして、お客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、同内容のお知らせメールの返信にてお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。

問題の概要

RedHat Enterprise Linux もしくは CentOS に含まれる openssl パッケージをご利用のサーバにおいて、遠隔の第三者によって通信情報が盗聴および改ざん取得される可能性がございます。
この脆弱性には、CVE 識別番号として CVE-2014-0224 が割り当てられています。

CVE-2014-0224

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224

詳細に関しましては、Japan Vulnerability Notes 等の情報もご参照ください。

OpenSSL の heartbeat 拡張に情報漏えいの脆弱性

http://jvn.jp/jp/JVN61247051/

SSL/TLS MITM vulnerability (CVE-2014-0224) (開発元)

https://www.openssl.org/news/secadv_20140605.txt

CVE-2014-0224 openssl: SSL/TLS MITM vulnerability (RHEL)

https://access.redhat.com/security/cve/CVE-2014-0224

影響を受けるOSとサーバ

本脆弱性の影響を受けるパッケージ

※2014年6月9日現在の情報となります。
※RHEL4は有償サポート延長プログラムをご購入のお客様のみがアップデート可能となります。
※CentOS 4は、ベンダーのサポート終了のため、パッチが提供されておりませんので、 アップデートは不可となります。
※Microsoft Windows のサーバは、弊社サービス環境におきましては本脆弱性の影響はございません。

対応策

OS のディストリビュータである Red Hat 社、ならびに CentOS Project より、本脆弱性を修正したパッケージが、提供されておりますので、openssl パッケージの更新をお勧めいたします。

※本脆弱性の影響があるかどうかを判別する方法
サーバに SSH でログインし、以下のコマンドを入力してください。

rpm -qa | egrep ‘^openssl’

特に何も表示されない場合には、openssl パッケージがインストールされておりま せんので、脆弱性の影響はございません。openssl から始まる文字列が表示された場 合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケー ジかどうかご確認ください。

お客様による OpenSSL アップデート方法

お客様にてアップデートを行われる場合には、修正済みパッケージをダウンロー ドいただき、更新作業を実施していただきます。具体的な手順につきましてはお客様による OpenSSL アップデート方法をご参照ください。

お客様による OpenSSL アップデート方法 https://www.sthark.com/news/20140609_openssl_update.htm

OpenSSL のバージョン確認

サーバ上の openssl パッケージが脆弱性対応済みのバージョンとなっているかを 確認するには、以下の各 OS 毎のパッケージのバージョン情報をご参照ください。

※2014年6月9日現在の情報となります。