2020/1/14 (木) 更新
平素は弊社サービスをご利用いただきましてありがとうございます。
このたび、暗号通信に利用されるの「OpenSSL」にリモートからサービス運用妨害 (DoS) 攻撃の可能性のある脆弱性が公表されましたため、問題の概要と弊社における対応について下記の通りご案内いたします。

お客様にはお手数をおかけいたしますが、サービスの安定的な運用を行うため、ご理解・ご協力の程、よろしくお願い申し上げます。
今後ともクララオンラインをどうぞ宜しくお願いいたします。

問題の概要

RedHat Enterprise Linux もしくは CentOS に含まれる OpenSSLパッケージをご利用のサーバにおいて、遠隔の第三者によってリモートからサービス運用妨害 (DoS) 攻撃の可能性がございます。
この脆弱性には、CVE 識別番号として CVE-2020-1971 が割り当てられています。

CVE-2020-1971
https://www.jpcert.or.jp/at/2020/at200048.html

https://access.redhat.com/security/cve/CVE-2020-1971

本脆弱性の影響を受けるパッケージ

CentOS6/RHEL6 OpenSSL 1.1.1 および 1.0.2 のすべてのバージョン
CentOS7/RHEL7 OpenSSL 1.1.1 および 1.0.2 のすべてのバージョン
CentOS8/RHEL8 OpenSSL 1.1.1 および 1.0.2 のすべてのバージョン

※2020年12月22日現在の情報となります。
※RHEL6は有償サポート延長プログラムをご購入のお客様のみがアップデート可能となります。ただ、RHEL6は本日現在まだ、修正パッケージバージョンの情報が確認できません。
そのため、https://access.redhat.com/security/cve/CVE-2020-1971 のRHEL6行のRelease Dateのリンクをご確認ください。
※CentOS6は、ベンダーのサポート終了のため、パッチが提供されておりませんので、 アップデートは不可となります。お早めにサーバの移行をご検討ください。

対応策

OS のディストリビュータである Red Hat 社、ならびに CentOS Project より、本脆弱性を修正したパッケージが、提供されておりますので、OpenSSLパッケージの更新をお勧めいたします。

※本脆弱性の影響があるかどうかを判別する方法
サーバに SSH でログインし、以下のコマンドを入力してください。
rpm -qa | egrep ‘^openssl’

特に何も表示されない場合には、openssl パッケージがインストールされておりま せんので、脆弱性の影響はございません。openssl から始まる文字列が表示された場 合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケー ジかどうかご確認ください。

お客様による OpenSSL アップデート方法

お客様にてアップデートを行われる場合には、修正済みパッケージをダウンロードいただき、更新作業を実施していただきます。具体的な手順につきましてはお客様による OpenSSLアップデート方法をご参照ください。

お客様による OpenSSL アップデート方法
https://spt.clara.jp/ufaqs/id-9715/


サーバ上の openssl パッケージが脆弱性対応済みのバージョンとなっているかを 確認するには、以下の各 OS 毎のパッケージのバージョン情報をご参照ください。

CentOS7/RHEL7の脆弱性修正バージョン
openssl-1.0.2k-21.el7_9.x86_64.rpm

CentOS8/RHEL8の脆弱性修正バージョン
openssl-1.1.1g-12.el8_3.x86_64.rpm

※2020年12月22日現在の情報となります。

お客様にて作業が難しい場合は、弊社サポート宛て(support@clara.ne.jp)までご依頼をいただきますようお願い致します。
弊社営業時間内(平日10:00-18:00)にて、弊社の任意のタイミングにて作業およびサーバ全体の再起動を実施させていただきます。なお、アップデート作業中および、サーバ全体の再起動中につきましては、通常の場合は数秒程度Webサイトの表示が行えなくなりますのであらかじめご了承ください。
ご依頼の際のメールにつきましては、以下の内容を必ずご記載をいただきますようお願い致します。

□ご依頼時のメールフォーマット
メールの件名:OpenSSLパッケージのアップデート依頼
メールの本文
・更新対象サーバのホスト名および、IPアドレス
・パッケージの更新作業後のメールのご連絡の有無(必要 or 不要)
※「必要」、「不要」のいずれかのご記載をいただきますようお願い致します。