powered by CLARA ONLINE
TEL MAIL

OpenSSL の脆弱性 (CVE-2014-0224) に関する注意喚起 – 2014/06/09 (月)

過去の重要なお知らせ(2012~2016年)

OpenSSL の脆弱性 (CVE-2014-0224) に関する注意喚起(専用サーバ/Sola Cloud/NIFTY Cloud/鴻図雲シリーズ)

2014/6/9 (水) 更新

平素は弊社サービスをご利用いただきましてありがとうございます。

このたび、暗号通信に利用されるの「OpenSSL」にリモートから通信が盗聴および改ざんされる可能性のある脆弱性が公表されましたため、問題の概要と弊社における対応について下記の通りご案内いたします。

お客様にはお手数をおかけいたしますが、サービスの安定的な運用を行うため、ご理解・ご協力の程、よろしくお願い申し上げます。

本件につきまして、お客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、同内容のお知らせメールの返信にてお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。

問題の概要

RedHat Enterprise Linux もしくは CentOS に含まれる openssl パッケージをご利用のサーバにおいて、遠隔の第三者によって通信情報が盗聴および改ざん取得される可能性がございます。

この脆弱性には、CVE 識別番号として CVE-2014-0224 が割り当てられています。

    • CVE-2014-0224

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224

詳細に関しましては、Japan Vulnerability Notes 等の情報もご参照ください。

    • OpenSSL の heartbeat 拡張に情報漏えいの脆弱性

http://jvn.jp/jp/JVN61247051/

    • SSL/TLS MITM vulnerability (CVE-2014-0224) (開発元)

https://www.openssl.org/news/secadv_20140605.txt

    • CVE-2014-0224 openssl: SSL/TLS MITM vulnerability (RHEL)

https://access.redhat.com/security/cve/CVE-2014-0224

影響を受けるOSとサーバ

 

  • 本脆弱性の影響を受けるパッケージ

 

RHEL 4 openssl 0.9.7a
CentOS/RHEL 5 openssl 0.9.8b / 0.9.8e もしくは openssl097a
CentOS/RHEL 6.0 openssl 1.0.0 / openssl 1.0.1e もしくは openssl098e

※2014年6月9日現在の情報となります。
※RHEL4は有償サポート延長プログラムをご購入のお客様のみがアップデート可能となります。
※CentOS 4は、ベンダーのサポート終了のため、パッチが提供されておりませんので、
アップデートは不可となります。
※Microsoft Windows のサーバは、弊社サービス環境におきましては本脆弱性の影響はございません。

 

対応策

 OS のディストリビュータである Red Hat 社、ならびに CentOS Project より、本脆弱性を修正したパッケージが、提供されておりますので、openssl パッケージの更新をお勧めいたします。

※本脆弱性の影響があるかどうかを判別する方法

サーバに SSH でログインし、以下のコマンドを入力してください。

rpm -qa | egrep ‘^openssl’

 

特に何も表示されない場合には、openssl パッケージがインストールされておりま せんので、脆弱性の影響はございません。openssl から始まる文字列が表示された場 合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケー ジかどうかご確認ください。

 

お客様による OpenSSL アップデート方法

お客様にてアップデートを行われる場合には、修正済みパッケージをダウンロー ドいただき、更新作業を実施していただきます。具体的な手順につきましてはお客様による OpenSSL アップデート方法をご参照ください。

お客様による OpenSSL アップデート方法
https://www.sthark.com/spt/8263/
OpenSSL パッケージアップデート依頼方法
 本脆弱性については、アップデート方法がわからないお客様を対象に、弊社に てアップデート作業を無償で代行させていただきます。
◇ OpenSSL パッケージアップデート (CVE-2014-0224) 依頼フォーム

※ご依頼やお問い合わせは support@clara.ne.jp までご連絡いただきますようお願い申し上げます。

※作業時間は原則として弊社営業時間内 (平日10時~18時) とさせていただいております。 作業日・作業時間のご指定はいただけませんので、あらかじめご了承ください。
なお、OpenSSLのアップデート作業に伴い、サーバ全体の再起動が発生いたしますので、 10分程度 サーバにアクセスできない場合がございます

※Web サーバの起動にパスフレーズが必要な場合は、アップデート代行対象外とさせていただきますので、お客様での対応をお願いいたします。

 

OpenSSL のバージョン確認

サーバ上の openssl パッケージが脆弱性対応済みのバージョンとなっているかを 確認するには、以下の各 OS 毎のパッケージのバージョン情報をご参照ください。

RHEL 4 openssl 0.9.7a-43.22.el4以降
CentOS/RHEL 5 openssl 0.9.8e-27.el5_10.3以降 もしくは
openssl097a-0.9.7a-12.el5_10.1以降
CentOS/RHEL 6 openssl 1.0.1e-16.el6_5.14以降 もしくは
openssl098e-0.9.8e-18.el6_5.2

※2014年6月9日現在の情報となります。

CONTACT

Flex Mini Cubeに関するお問い合わせ・相談ウェブサーバー専門スタッフが直接対応

03-4213-0779 平日:10:00-18:00 土日祝休み
お問い合わせフォーム