4/8(火),4/11(金)にお伝えしております OpenSSL 1.0.1系(1.0.1~1.0.1f) に関する
重大な脆弱性 (CVE-2014-0160) について,追加情報をお知らせいたします。
今回OpenSSLの脆弱性の影響を受けたサーバでは,脆弱性を悪用された場合に
プロセスのメモリ上の情報を読み取られ,秘密鍵やパスワードなどの
機密性の高い情報が漏えいしている可能性があります。
OpenSSLのアップデート・Windows用Shibboleth SPパッケージのアップデートおよび
サービスの再起動が完了しましたら,下記の内容をご検討ください。
- 影響を受けたすべてのサーバにおいて秘密鍵の情報が漏えいした可能性が
ありますので,サーバ証明書の更新をご検討ください。
IdP・SPの証明書更新手順は次のURLで公開しています。
メタデータ記載の証明書更新手順(IdP)
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP+Key+Rollover
メタデータ記載の証明書更新手順(SP)
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP+Key+Rollover
サーバ証明書の更新を行いましたら,忘れずに旧証明書の失効をお願いいたします。
- (IdPの場合)
パスワード情報が漏えいした可能性がありますので,各機関のポリシーに基づき,
対応をご検討ください。
秘密鍵が漏えいしていた場合で,かつ過去の通信内容(暗号化されたデータ)が
蓄積されていた場合には,その期間の情報も解読される可能性があります。
各ホストにおける影響範囲の調査にはご留意ください。
- (SPの場合)
ログイン済みユーザのセッション情報(セッションID等のcookie),
IdPから送出されたユーザの属性情報(*)などが漏えいした可能性がありますので,
各機関のポリシーに基づき,対応をご検討ください。
Shibboleth認証以外で,別途ローカルでの認証が行われるサイトでは
ローカルのパスワード情報も漏えいしている可能性があります。
(*) ユーザの属性情報(アサーション)は暗号化されるため
通常盗み見ることはできませんが,1. のSP秘密鍵漏えいと組み合わせられると
解読され得ます。
参考情報:
- OpenSSL Security Advisory [07 Apr 2014]
(OpenSSL公式のセキュリティアドバイザリ)
http://www.openssl.org/news/secadv_20140407.txt
- Shibboleth Security Advisory [9 April 2014]
(Shibboleth Consortiumのセキュリティアドバイザリ)
https://shibboleth.net/community/advisories/secadv_20140409.txt
- Important: openssl security update
(Red Hatのアップデートパッケージの情報)
https://rhn.redhat.com/errata/RHSA-2014-0376.html
- OpenSSL 1.0.1/1.0.2系に脆弱性、秘密鍵漏えいの恐れも
(@ITによる解説記事)
http://www.atmarkit.co.jp/ait/articles/1404/08/news134.html
- パッチ未適用のサーバーに深刻な脅威となる Heartbleed 脆弱性
(シマンテックによる解説記事)
http://www.symantec.com/connect/ja/blogs/heartbleed
ご不明の点がございましたらお問い合わせください。
どうぞ宜しくお願い申し上げます。
