2014/6/9 (月) 更新
平素は弊社サービスをご利用いただきましてありがとうございます。
問題の概要
暗号通信に利用されるの「OpenSSL」に、リモートから通信が盗聴および改ざんされる可能性のある脆弱性が公表されました。
詳細につきましては、以下の注意喚起をご参照ください。
・OpenSSL の脆弱性 (CVE-2014-0224) に関する注意喚起専用サーバ/Sola Cloud/NIFTY Cloud/鴻図雲シリーズ)
なお、今回の脆弱性におきましては、OpenSSL のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてOpenSSL をアップデートする方法をご案内いたします。
セキュリティパッチ適用対象OS及びバーション対照表
| RHEL 4 | openssl 0.9.7a |
| CentOS/RHEL 5 | openssl 0.9.8b / 0.9.8e もしくは openssl097a |
| CentOS/RHEL 6.0 | openssl 1.0.0 / openssl 1.0.1e もしくは openssl098e |
※2014年6月9日現在の情報となります。
※RHEL4は有償サポート延長プログラムをご購入のお客様のみがアップデート可能となります。
※CentOS 4は、ベンダーのサポート終了のため、パッチが提供されておりませんので、
アップデートは不可となります。
※Microsoft Windows のサーバは、弊社サービス環境におきましては本脆弱性の影響はございません。
アップデートに関する注意事項
- 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
- お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
- 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。
OpenSSL アップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). OSのバージョン確認方法
対象のOSバージョンである事を確認します。
| # cat /etc/redhat-release |
(3). インストールされているパッケージの確認
対象のOSバージョンである事を確認します。
| # rpm -qa | egrep ‘^openssl’ |
特に何も表示されない場合には、openssl パッケージがインストールされておりませんので、脆弱性の影響はございません。openssl から始まる文字列が表示された場 合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケー ジかどうかご確認ください。openssl バージョン情報確認 (CVE-2014-0224)ページ。
(4). アップデートの実施
以下のコマンドを実行し、アップデートを行います
Red Hat Enterprise Linux 4 の場合
| # up2date -u openssl-* |
CentOS 5、Red Hat Enterprise Linux 5 の場合
| # yum update openssl-* openssl097a-* |
CentOS 6、Red Hat Enterprise Linux 6 の場合
| # yum update openssl-* openssl098e-* |
(5). opensslパッケージのバージョン確認
| # rpm -qa | egrep ‘^openssl’ |
openssl パッケージのバージョンが、以下のページに記載されているリリース番号と同じになっているかどうかを確認します。
(6). サーバの再起動
アップデートを反映させるため、以下のコマンドを実行し、サーバの再起動を行います。
| # reboot |