OpenSSL ProjectよりOpenSSLに関する複数の脆弱性(OpenSSL Security Advisory [05 Jun 2014])が発表されています。
特にCVE-2014-0224の脆弱性を悪用された場合は、Man-in-the-Middle (MITM)攻撃による暗号通信の内容が漏洩・改竄される可能性が指摘されています。
CVE-2014-0224ではクライアントとサーバがともにバグが存在するバージョンで影響を受けますので,各機関様におかれましては,ご利用のOpenSSLについてバージョンをご確認の上,当該脆弱性の影響を受けるバージョンの場合は,速やかにアップデートを行っていただくことをおすすめいたします。
■ 影響を受けるバージョン
・クライアント :OpenSSLのすべてのバージョン
・サーバ :OpenSSL 1.0.1, 1.0.2-beta1
■ アップデート方法(Linux)
技術ガイドに則って CentOS 5, 6 で IdP/SP をしたサーバの場合には、すでに
アップデートパッケージが提供されています。パッケージのアップデート後に、
サーバの再起動または httpd, shibd などの各種サービスの再起動を行ってください。
◆ CentOS 5
http://lists.centos.org/pipermail/centos-announce/2014-June/020349.html
※ openssl-0.9.8e-27.el5_10.3 が本脆弱性に対応したパッケージです。
◆ CentOS 6
http://lists.centos.org/pipermail/centos-announce/2014-June/020344.html
※ openssl-1.0.1e-16.el6_5.14 が本脆弱性に対応したパッケージです。
CentOS 以外のディストリビューションをご利用の場合でも本脆弱性の影響を受ける
可能性がありますので、各ディストリビューションの情報をご確認いただくことを
おすすめいたします。
■ アップデート方法 (Windows)
Windows 用の Shibboleth SP パッケージは OpenSSL をパッケージ内部に含んで
いるため、Shibboleth SP 2.5.3 パッケージへのパッチ適用が必要です。
アドバイザリをご確認の上、パッチの適用を行ってください。
Shibboleth Security Advisory [08 June 2014]
http://shibboleth.net/community/advisories/secadv_20140608.txt
Shibboleth SP 2.4.3 およびそれ以前のバージョンをご利用の場合には、
サーバとして本脆弱性の影響は受けませんが、Back-Channel への接続などで
TLSクライアントとして動作するときに影響を受けます。
パッチの提供は Shibboleth SP 2.5.3 以外では行われないため、
Shibboleth SP 2.5.2 およびそれ以前のインストーラーをご利用の場合は、規定の
アップデート手順にしたがって Shibboleth SP 2.5.3 へのアップデートが必要です。
アップデート手順は下記のURLをご参照ください。
https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPWindowsUpgrade
以上です。
参考情報:
- OpenSSL Security Advisory [05 Jun 2014]
(OpenSSL公式のセキュリティアドバイザリ)
https://www.openssl.org/news/secadv_20140605.txt
- Shibboleth Security Advisory [08 June 2014]
(Shibboleth Consortiumのセキュリティアドバイザリ)
http://shibboleth.net/community/advisories/secadv_20140608.txt
- CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介
http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection/index.html
- CCS Injection Vulnerability
http://ccsinjection.lepidum.co.jp/ja.html
