OpenSSLの脆弱性について (OpenSSL Security Advisory [05 Jun 2014])

2014-06-12 17:00 by 福嶋

OpenSSL ProjectよりOpenSSLに関する複数の脆弱性(OpenSSL Security Advisory [05 Jun 2014])が発表されています。

 

特にCVE-2014-0224の脆弱性を悪用された場合は、Man-in-the-Middle (MITM)攻撃による暗号通信の内容が漏洩・改竄される可能性が指摘されています。

 

CVE-2014-0224ではクライアントとサーバがともにバグが存在するバージョンで影響を受けますので,各機関様におかれましては,ご利用のOpenSSLについてバージョンをご確認の上,当該脆弱性の影響を受けるバージョンの場合は,速やかにアップデートを行っていただくことをおすすめいたします。

 

 

■ 影響を受けるバージョン
  ・クライアント :OpenSSLのすべてのバージョン
  ・サーバ   :OpenSSL 1.0.1, 1.0.2-beta1

 

■ アップデート方法(Linux)
  技術ガイドに則って CentOS 5, 6 で IdP/SP をしたサーバの場合には、すでに
  アップデートパッケージが提供されています。パッケージのアップデート後に、
  サーバの再起動または httpd, shibd などの各種サービスの再起動を行ってください。

 

  ◆ CentOS 5
    http://lists.centos.org/pipermail/centos-announce/2014-June/020349.html
    ※ openssl-0.9.8e-27.el5_10.3 が本脆弱性に対応したパッケージです。

 

  ◆ CentOS 6
    http://lists.centos.org/pipermail/centos-announce/2014-June/020344.html
    ※ openssl-1.0.1e-16.el6_5.14 が本脆弱性に対応したパッケージです。

 

  CentOS 以外のディストリビューションをご利用の場合でも本脆弱性の影響を受ける
  可能性がありますので、各ディストリビューションの情報をご確認いただくことを
  おすすめいたします。

 

■ アップデート方法 (Windows)
  Windows 用の Shibboleth SP パッケージは OpenSSL をパッケージ内部に含んで
  いるため、Shibboleth SP 2.5.3 パッケージへのパッチ適用が必要です。
  アドバイザリをご確認の上、パッチの適用を行ってください。

 

  Shibboleth Security Advisory [08 June 2014]
  http://shibboleth.net/community/advisories/secadv_20140608.txt

 

  Shibboleth SP 2.4.3 およびそれ以前のバージョンをご利用の場合には、
  サーバとして本脆弱性の影響は受けませんが、Back-Channel への接続などで
  TLSクライアントとして動作するときに影響を受けます。

 

  パッチの提供は Shibboleth SP 2.5.3 以外では行われないため、
  Shibboleth SP 2.5.2 およびそれ以前のインストーラーをご利用の場合は、規定の
  アップデート手順にしたがって Shibboleth SP 2.5.3 へのアップデートが必要です。
  アップデート手順は下記のURLをご参照ください。
  https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPWindowsUpgrade

 

以上です。

 

参考情報: