[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00811] OpenSSLの脆弱性について
- Subject: [upki-fed:00811] OpenSSLの脆弱性について
- Date: Tue, 8 Apr 2014 19:43:50 +0900
- From: "MIZUMOTO, Akinori" <xxxxxxxxxxxxxx@xxxxxxxxx>
IdP/SP運用担当者各位
情報交換ML各位
国立情報学研究所 学認事務局です。
OpenSSL 1.0.1系(1.0.1〜1.0.1f)に重大な脆弱性が公開されました。
http://www.openssl.org/news/secadv_20140407.txt
脆弱性を悪用された場合はメモリ上にある暗号化された情報や、秘密鍵の情報
などの機密性の高い情報が漏えいする可能性があります。
この脆弱性は、技術ガイドに則ってCentOS 6でIdP/SPを構築したサーバで影響
を受けます(CentOS 5ではOpenSSL 0.9.8系のため影響を受けません)。
CentOS 6ではすでにアップデートパッケージが出ていますのでアップデートを
行っていただくことをおすすめいたします。
https://rhn.redhat.com/errata/RHSA-2014-0376.html
※ openssl-1.0.1e-16.el6_5.7 が本脆弱性に対応したパッケージです。
アップデート後にサーバの再起動または、httpd, shibdなどの各種
サービスの再起動を行ってください。
Windows用のSPはOpenSSLをパッケージ内部に含んでいるため、Shibboleth SPパッ
ケージのアップデートが必要となります。現在Shibboleth Projectにてパッケー
ジを作成している段階とのことです。
CentOS以外のディストリビューションをご利用の場合でも本脆弱性の影響を受
ける可能性がありますので、各ディストリビューションの情報をご確認いただ
くことをお勧めいたします。
----
MIZUMOTO, Akinori
xxxxxxxxxxxxxx@xxxxxxxxx