【追記】OpenSSL脆弱性(CVE-2014-0160)　学認提供の全サービスへの影響について

学認Webサイト・情報交換MLなどでお知らせの通り，OpenSSLの重大な脆弱性(CVE-2014-0160) が報告されています。
これを受けて，学認では提供する全サービスの影響範囲を調査し，必要な対応を行いました。

• 学認での対応状況
  
  学認において脆弱性の影響を受けるサービスにつきましては，下記のとおり対応を進めています。
   
  • 2014/4/9(水)までに，対象サーバのOpenSSLのアップデートを完了しました。
     
  • 2014/4/14(月)までに，対象サーバで証明書を再発行しました。
    これは、秘密鍵が漏えいしたことを想定した対処です。
    証明書の再発行後には危殆化が想定される古い証明書をすべて失効しました。
     
  • 2014/4/17(木)現在，運用フェデレーション属性確認SP (attrviewer13, attrviewer20) のメタデータを更新中です。
    2014/4/30(木)までに，運用フェデレーション属性確認SP (attrviewer13, attrviewer20) のメタデータ更新が終了しました。
  
   
• 利用者の皆さまへのお願い
  
  学認で脆弱性の影響を受けたサービスのうち，メタデータリポジトリ，運用フェデレーション属性確認SPでは利用者の皆さまに状況を確認の上，対策を取っていただく必要があるものが含まれています。
  
  各情報を参照の上、ご対応いただけますようお願い申し上げます。
   
  • メタデータリポジトリ（冗長構成のうち一部のホストが影響）
    https://metadata.gakunin.nii.ac.jp/
    
    ※ 脆弱性の影響を受けるOpenSSLパッケージがサーバにインストールされた
    　　2013/12/26(木)以降で，メタデータリポジトリで配布しているメタデータ署名
    　　証明書を取得されたIdP・SPでは，署名証明書の真正性を確かめるため，
    　　下記のフィンガープリントと一致しているか確認してください。
    
    　　9F:8D:13:CB:E3:93:57:59:E1:81:8F:A4:26:A5:FD:60:AB:C5:01:00
    　　(SHA-1フィンガープリント)
    
    　　フィンガープリントの確認手順は下記ページをご参照ください。
    　　https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/signer
    
    ※ メタデータ署名証明書の秘密鍵は内部で厳重に管理されているため，
    　　本脆弱性による漏えいはありません。
    
    ※ 万一メタデータリポジトリ（https://metadata.gakunin.nii.ac.jp/）のサーバ
    　　証明書の秘密鍵が第三者に漏えいし偽サイトが立ち上げられていたとして
    　　も，メタデータ署名証明書を使って適切に署名検証されるため，IdP/SPで
    　　読み込まれたメタデータの真正性に影響はありません。
     
  • 運用フェデレーション属性確認SP (attrviewer13, attrviewer20)
    https://attrviewer20.gakunin.nii.ac.jp/
    https://attrviewer13.gakunin.nii.ac.jp/
    
    ※ IdPから送出されたユーザの属性情報（アサーション）は通信途中では
    　　暗号化されますが，秘密鍵が漏えいしていた場合は解読される可能性が
    　　あります。
    　　また，属性表示のためにメモリ上に復号した属性情報が残っていた
    　　場合には読み取られている可能性があります。
  
  
  学認で脆弱性の影響を受けたサービスのうち，次の3つのサービスでは脆弱性対応が完了しています。また，利用者様側でご対応いただく作業はありません。
   
  • 学認Webサイト
    http://www.gakunin.jp/
  • Japan Identity & Cloud Summit Webサイト
    https://jics.nii.ac.jp/
  • ディスカバリーサービス（冗長構成のうち一部のホストが影響）
    https://ds.gakunin.nii.ac.jp/
     
  
  下記のサービスではOpenSSLの脆弱性を受けるバージョンではなかったため，影響はありません。
   
  • 学認申請システム
    https://office.gakunin.nii.ac.jp/
     
  • Subversionリポジトリ
    https://forge.gakunin.nii.ac.jp/
     
  • テストフェデレーション全体
    https://test-ds.gakunin.nii.ac.jp/
    https://test-idp1.gakunin.nii.ac.jp/
    https://test-sp1.gakunin.nii.ac.jp/
    https://test-sp2.gakunin.nii.ac.jp/
    https://test-sp3.gakunin.nii.ac.jp/
  
  
  ※ NII が提供している学認対応 SP 等への影響については，別途，
  　　以下のURLにてお知らせしますので，こちらを参照ください。
  　　https://meatwiki.nii.ac.jp/confluence/display/NIIninsho/Outage