OpenSSL の脆弱性 (CVE-2014-0224) に関する注意喚起(専用サーバ/Sola Cloud/NIFTY Cloud/鴻図雲シリーズ)

2014/6/9 (水） 更新

平素は弊社サービスをご利用いただきましてありがとうございます。

このたび、暗号通信に利用されるの「OpenSSL」にリモートから通信が盗聴および改ざんされる可能性のある脆弱性が公表されましたため、問題の概要と弊社における対応について下記の通りご案内いたします。

お客様にはお手数をおかけいたしますが、サービスの安定的な運用を行うため、ご理解・ご協力の程、よろしくお願い申し上げます。

本件につきまして、お客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、同内容のお知らせメールの返信にてお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。

問題の概要

RedHat Enterprise Linux もしくは CentOS に含まれる openssl パッケージをご利用のサーバにおいて、遠隔の第三者によって通信情報が盗聴および改ざん取得される可能性がございます。

この脆弱性には、CVE 識別番号として CVE-2014-0224 が割り当てられています。

• • CVE-2014-0224

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224

詳細に関しましては、Japan Vulnerability Notes 等の情報もご参照ください。

• • OpenSSL の heartbeat 拡張に情報漏えいの脆弱性

http://jvn.jp/jp/JVN61247051/

• • SSL/TLS MITM vulnerability (CVE-2014-0224) (開発元)

https://www.openssl.org/news/secadv_20140605.txt

• • CVE-2014-0224 openssl: SSL/TLS MITM vulnerability (RHEL)

https://access.redhat.com/security/cve/CVE-2014-0224

影響を受けるOSとサーバ

 

• 本脆弱性の影響を受けるパッケージ

 

 

対応策

　OS のディストリビュータである Red Hat 社、ならびに CentOS Project より、本脆弱性を修正したパッケージが、提供されておりますので、openssl パッケージの更新をお勧めいたします。

※本脆弱性の影響があるかどうかを判別する方法

サーバに SSH でログインし、以下のコマンドを入力してください。

 

特に何も表示されない場合には、openssl パッケージがインストールされておりま せんので、脆弱性の影響はございません。openssl から始まる文字列が表示された場 合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケー ジかどうかご確認ください。

 

お客様による OpenSSL アップデート方法

お客様にてアップデートを行われる場合には、修正済みパッケージをダウンロー ドいただき、更新作業を実施していただきます。具体的な手順につきましてはお客様による OpenSSL アップデート方法をご参照ください。

OpenSSL パッケージアップデート依頼方法

※ご依頼やお問い合わせは support@clara.ne.jp までご連絡いただきますようお願い申し上げます。

※作業時間は原則として弊社営業時間内 (平日10時～18時) とさせていただいております。 作業日・作業時間のご指定はいただけませんので、あらかじめご了承ください。
なお、OpenSSLのアップデート作業に伴い、サーバ全体の再起動が発生いたしますので、 10分程度 サーバにアクセスできない場合がございます

※Web サーバの起動にパスフレーズが必要な場合は、アップデート代行対象外とさせていただきますので、お客様での対応をお願いいたします。

 

OpenSSL のバージョン確認

サーバ上の openssl パッケージが脆弱性対応済みのバージョンとなっているかを 確認するには、以下の各 OS 毎のパッケージのバージョン情報をご参照ください。