2020/1/14 (木) 更新

平素は弊社サービスをご利用いただきましてありがとうございます。

問題の概要
OpenSSL には、X.509 証明書の GENERAL_NAME が EDIPartyNameを含む場合にGENERAL_NAME_cmp 関数内で NULL ポインタ参照が発生する脆弱性があります。この脆弱性を悪用されると、OpenSSL を実行しているサーバーおよびクライアントアプリケーションにおいて、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。

暗号通信に利用される「OpenSSL」に、脆弱性が公表されました。

詳細につきましては、「OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起」をご参照ください。

なお、今回の脆弱性におきましては、OpenSSL のアップデートをお勧めいたします。

本ページでは、お客様ご自身にてOpenSSL をアップデートする方法をご案内いたします。

■セキュリティパッチ適用対象OS
・Red Hat Enterprise Linux 8.x系
・CentOS 8.x系
・Red Hat Enterprise Linux 7.x系
・CentOS 7.x系

本手順は、Red Hat Enterprise Linux 8.x系 / CentOS 8.x系、Red Hat Enterprise Linux 7.x系 / CentOS 7.x系,のサーバが対象です。
本手順は無保証となります。
作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。

お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

OpenSSL アップデート方法
(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。
(2). OSのバージョン確認方法

対象のOSバージョンである事を確認します。

cat /etc/redhat-release

(3). インストールされているパッケージの確認

rpm -qa | egrep ^openssl-

特に何も表示されない場合には、OpenSSL パッケージがインストールされておりませんので、脆弱性の影響はございません。openssl から始まる文字列が表示された場合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケー ジかどうかご確認ください。

(4). アップデートの実施

以下のコマンドを実行し、アップデートを行います。
・CentOS 8、Red Hat Enterprise Linux 8 の場合
dnf update openssl-*


・CentOS 7、Red Hat Enterprise Linux 7 の場合
yum update openssl-*

(5). OpenSSLパッケージのバージョン確認

rpm -qa | egrep ^openssl-

openssl パッケージのバージョンが、以下のページに記載されているリリース番号と同じになっているかどうかを確認します。

CentOS8/RHEL8の脆弱性修正バージョン
openssl-1.1.1g-12.el8_3.x86_64.rpm

CentOS7/RHEL7の脆弱性修正バージョン
openssl-1.0.2k-21.el7_9.x86_64.rpm



openssl バージョン情報確認 (CVE-2020-1971)

(6). サーバの再起動

アップデートを反映させるため、以下のコマンドを実行し、サーバの再起動をおこなう必要がございます。

reboot

以上となります。