概 要
オープンソース暗号化ライブラリ OpenSSL に脆弱性が見つかりました。
※弊社製品ではありませんが、関連サービスとして利用しているためアナウンスしております。
この脆弱性によりサーバー上の秘密鍵が漏洩する危険性があります。
もし漏洩してしまうと、この秘密鍵を利用して暗号化されたSSL/TLS通信の内容を解読できてしまいます。
本件に該当する弊社製品関連サービスの例
- Apache Webサーバー:Unicorn ID Manager(ユニコーンIDマネージャー)やThothLink 2.0(トートリンク)、chimeraなど、httpsで通信を暗号化している場合
- OpenLDAPサーバー:ldapsで通信を暗号化している場合
- OpenAMサーバー:OpenAMサーバーをApacheの背後に置き、Apacheでhttps化している場合のみ該当、 Tomcatやロードバランサー部分でhttps化している場合は影響ありません。(ロードバランサーに脆弱 性があるかは該当ベンダーにお問い合わせください。) また、OpenAM SAML署名用の証明書もJDKを利用するため影響ありません。
参照
- JPCERT : https://www.jpcert.or.jp/at/2014/at140013.html
- IPA : https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
セキュリティ重要度: < Critical >
非常に危険、緊急対処を要するレベルです。
至急対策を講じて下さい。
対象
以下OpenSSLを利用したSSL/TLSプロトコルサービスを提供するシステム
- OpenSSL 1.0.1〜1.0.1f
- OpenSSL 1.0.2-beta〜1.0.2-beta1
- RedHat Enterprise Linux 6 又は CentOS 6に標準添付のOpenSSL-1.0.1e
※OpenSSL 1.0.0と0.9.xは対象外です。
対策
修正版 OpenSSL へのアップデートが必要です。
修正版 OpenSSL パッケージの入手先、適用方法については OSベンダーのサポート窓口にご確認ください。
※弊社製品のアップデートは必要ありません。
CentOS 6でのアップデートの例
opensslのバージョンを確認します。 確認は以下のコマンドを実施することで確認できます。
# rpm -qa openssl
問題のあるバージョンは、「1.0.1」~「1.0.1f」です。 該当のバージョンの場合、opensslのアップデー トを実施します。 opensslのアップデートは以下のコマンドで行います。 対策済みのバージョンは、openssl-1.0.1e-16.el6_5.7.x86_64です。 (root権限で実行ください)
# yum update openssl
===================================================================
Package Arch Version Repository Size
===================================================================
Updateing:
openssl x86_64 1.0.1e-16.el6_5.7 updates 1.5M
Is this ok [y/N]:
アップデート後、念のためOpenSSLのバージョンを再度確認ください。
# rpm -qa openssl
openssl-1.0.1e-16.el6_5.7.x86_64
秘密鍵の更新、証明書(自己署名、公的署名を含む)の再発行が必要です。
脆弱性対象バージョンの OpenSSL を利用してSSL/TLSサービス(HTTPS/LDAPSなど)を行っていた場合は、秘密鍵が漏洩している可能性があり、秘密鍵の更新、証明書(自己署名、公的署名を含む)の再発行を強く推奨します。