[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00811] OpenSSLの脆弱性について



IdP/SP運用担当者各位
情報交換ML各位

国立情報学研究所 学認事務局です。

OpenSSL 1.0.1系(1.0.1〜1.0.1f)に重大な脆弱性が公開されました。

http://www.openssl.org/news/secadv_20140407.txt

脆弱性を悪用された場合はメモリ上にある暗号化された情報や、秘密鍵の情報
などの機密性の高い情報が漏えいする可能性があります。

この脆弱性は、技術ガイドに則ってCentOS 6でIdP/SPを構築したサーバで影響
を受けます(CentOS 5ではOpenSSL 0.9.8系のため影響を受けません)。
CentOS 6ではすでにアップデートパッケージが出ていますのでアップデートを
行っていただくことをおすすめいたします。

 https://rhn.redhat.com/errata/RHSA-2014-0376.html

   ※ openssl-1.0.1e-16.el6_5.7 が本脆弱性に対応したパッケージです。
      アップデート後にサーバの再起動または、httpd, shibdなどの各種
      サービスの再起動を行ってください。

Windows用のSPはOpenSSLをパッケージ内部に含んでいるため、Shibboleth SPパッ
ケージのアップデートが必要となります。現在Shibboleth Projectにてパッケー
ジを作成している段階とのことです。

CentOS以外のディストリビューションをご利用の場合でも本脆弱性の影響を受
ける可能性がありますので、各ディストリビューションの情報をご確認いただ
くことをお勧めいたします。


----
MIZUMOTO, Akinori
xxxxxxxxxxxxxx@xxxxxxxxx