OpenSSLの脆弱性について

2014-04-08 19:00 by 福嶋

OpenSSL 1.0.1系(1.0.1〜1.0.1f)に重大な脆弱性が公開されました。
http://www.openssl.org/news/secadv_20140407.txt

脆弱性を悪用された場合はメモリ上にある暗号化された情報や、
秘密鍵の情報などの機密性の高い情報が漏えいする可能性があります。


この脆弱性は、技術ガイドに則ってCentOS 6でIdP/SPを構築したサーバで影響を受けます。
(CentOS 5ではOpenSSL 0.9.8系のため影響を受けません)
CentOS 6ではすでにアップデートパッケージが出ていますので、
アップデートを行っていただくことをおすすめいたします。

https://rhn.redhat.com/errata/RHSA-2014-0376.html

  ※ openssl-1.0.1e-16.el6_5.7 が本脆弱性に対応したパッケージです。
      アップデート後にサーバの再起動または、
      httpd, shibdなどの各種サービスの再起動を行ってください。

Windows用のSPはOpenSSLをパッケージ内部に含んでいるため、
Shibboleth SPパッケージのアップデートが必要となります。
現在Shibboleth Projectにてパッケージを作成している段階とのことです。

CentOS以外のディストリビューションをご利用の場合でも
本脆弱性の影響を受ける可能性がありますので、
各ディストリビューションの情報をご確認いただくことをお勧めいたします。

まずは第一報として皆様にお知らせいたします。