OpenSSLのセキュリティ脆弱性(CVE-2014-0160)について

オープンソース暗号化ライブラリ OpenSSL に脆弱性が見つかりました。

※弊社製品ではありませんが、関連サービスとして利用しているためアナウンスしております。

この脆弱性によりサーバー上の秘密鍵が漏洩する危険性があります。

もし漏洩してしまうと、この秘密鍵を利用して暗号化されたSSL/TLS通信の内容を解読できてしまいます。

• Apache Webサーバー：Unicorn ID Manager（ユニコーンIDマネージャー）やThothLink 2.0（トートリンク）、chimeraなど、httpsで通信を暗号化している場合
• OpenLDAPサーバー：ldapsで通信を暗号化している場合
• OpenAMサーバー：OpenAMサーバーをApacheの背後に置き、Apacheでhttps化している場合のみ該当、
  Tomcatやロードバランサー部分でhttps化している場合は影響ありません。（ロードバランサーに脆弱性があるかは該当ベンダーにお問い合わせください。）
  また、OpenAM SAML署名用の証明書もJDKを利用するため影響ありません。

• JPCERT : https://www.jpcert.or.jp/at/2014/at140013.html
• IPA : https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

非常に危険、緊急対処を要するレベルです。

至急対策を講じて下さい。

以下OpenSSLを利用したSSL/TLSプロトコルサービスを提供するシステム

• OpenSSL 1.0.1〜1.0.1f
• OpenSSL 1.0.2-beta〜1.0.2-beta1
• RedHat Enterprise Linux 6 又は CentOS 6に標準添付のOpenSSL-1.0.1e

※OpenSSL 1.0.0と0.9.xは対象外です。

修正版 OpenSSL パッケージの入手先、適用方法については OSベンダーのサポート窓口にご確認ください。

※弊社製品のアップデートは必要ありません。

opensslのバージョンを確認します。 確認は以下のコマンドを実施することで確認できます。

# rpm -qa openssl

問題のあるバージョンは、「1.0.1」～「1.0.1f」です。 該当のバージョンの場合、opensslのアップデートを実施します。 opensslのアップデートは以下のコマンドで行います。 対策済みのバージョンは、openssl-1.0.1e-16.el6_5.7.x86_64です。 （root権限で実行ください）

# yum update openssl
===================================================================
Package          Arch      Version               Repository    Size
===================================================================
Updateing:
openssl          x86_64    1.0.1e-16.el6_5.7     updates       1.5M

Is this ok [y/N]: 

アップデート後、念のためOpenSSLのバージョンを再度確認ください。

# rpm -qa openssl
openssl-1.0.1e-16.el6_5.7.x86_64

脆弱性対象バージョンの OpenSSL を利用してSSL/TLSサービス(HTTPS/LDAPSなど)を行っていた場合は、秘密鍵が漏洩している可能性があり、秘密鍵の更新、証明書(自己署名、公的署名を含む)の再発行を強く推奨します。