OpenSSL Heartbleed 脆弱性対策 (CVE-2014-0160)

つい先日明らかにされたセキュリティアラート:
CVE-2014-0160 OpenSSL Heartbleed 脆弱性に関する対策実施について

原文(英文)はこちら
Heartbleed Bug
http://heartbleed.com/

OpenSSLプロジェクトによる Security Advisory [07 Apr 2014]
https://www.openssl.org/news/secadv_20140407.txt

脆弱性診断サービス・タイガーチームによる参考情報
http://www.tiger1997.jp/report/activity/securityreport_20140410.html

JPCERTによる参考情報
https://www.jpcert.or.jp/at/2014/at140013.html

Symantec VeriSignによる参考情報
https://knowledge.verisign.co.jp/support/ssl-certificates-support/index?vproductcat=V_C_S&vdomain=VERISIGN.JP&page=content&id=AD835&locale=ja_JP&redirected=true

本件の問題点と対策は以下の通りです。

■OpenSSL Heartbleed 脆弱性問題点要約

OpenSSLの特定バージョンに重大バグがあり、このバグを悪用するとシステムのメモリー上の大量のデータを暴露することが可能であるということです。

■必要な対策

問題の OpenSSL はバージョン 1.0.1 ~ 1.0.1f であり、この場合、対処されたバージョン ( 1.0.1g 以降 )にアップデートすることとなっております。

※ただし、1.0.1g 以降にせよというのは OpenSSLプロジェクトのソースビルドの場合であって、OS 毎にリリースされている OpenSSLのビルド済みパッケージでは対処済みバージョンは以下のページにある説明の通りとなります。

RedHat Linux / CentOS
https://rhn.redhat.com/errata/RHSA-2014-0376.html

Debian GNU/Linux
http://www.debian.org/security/2014/dsa-2896

Ubuntu
http://www.ubuntu.com/usn/usn-2165-1/

当サービスで圧倒的多数である CentOS の場合は、以下で修正済み。

    openssl-1.0.1e-16.el6_5.7

当サービスのお客様の OS、OpenSSLのバージョンを確認し、本件の問題の影響を受けるバージョンであった場合は必要に応じて修正版へアップデートを随時実施しております。
また必要に応じ、httpd/mod_ssl/nginx 等のサーバーウェアも合わせてアップデートを実施しております。

■実施日時

   2014年 4月12日以降、随時 ~ 14日に完了

■SSLサーバー証明書の再取得について

★原則、有料になる話です。ご検討下さい。

SSLサーバー証明書をご利用のお客様は、申請情報作成(鍵作成、CSR作成)からやり直し、認証局で取得し直すことが望ましいとされています。

SSLサーバー証明書の再取得料は製品によって無料の場合と有料の場合があり、再取得料は、ベリサイン、セコム、ジオトラスト、ラピッド、コモド、グローバルサイン等の各社の各種製品と取得時のオプションなどで違います。

※ベリーキュートで取り扱っているものは各社の再発行オプションなしの格安タイプなので再発行には新規取得と同じ料金がかかるものがほとんどです。

鍵作成、CSR作成からやり直し、SSLサーバー証明書を取得し直すことをご希望のお客様は、新規取得料にて対応しますので当ホームページのお申込みページからお申込みをお願いします。

鍵作成、CSR作成と設置のみを私共が代行し、SSLサーバー証明書の申請と取得はお客様自身が行う場合、フルマネージメントプランのお客様であればサーバーでの作業代行については無料です。

コメントを残す