▼ 2014/04/24(木) OpenSSL のセキュリティ欠陥(Heartbleed バグ)について
暗号ライブラリ OpenSSL 1.0.1〜1.0.1f、1.0.2-beta1 に欠陥があり、最大 64k バイトのメモリー内容が、接続しているクライアントあるいはサーバーに漏洩する「Heartbleed(心臓出血)バグ」の存在が明らかとなっています。マスメディアでも広く報道されており、ご存じの方も多いかと思います。
理工学部内において該当するサーバーを稼働させていたサイトについては、既に対応されているか、あるいは個別に対応を依頼しています。
しかし上記のように、この欠陥はサーバーだけでなくクライアントにも影響します。欠陥のあるクライアントソフトウェア(Web ブラウザや FTP ソフトなど)を使って悪意のあるサーバーに接続すると、クライアント内部のメモリーが読み取られ、アカウント情報(ユーザー名、パスワード)などが漏洩する可能性があります。
OS 標準の OpenSSL ライブラリの更新が必要なもの
Linux や FreeBSD といったフリー OS では OpenSSL が標準的に使用されているため、該当するバージョンの OpenSSL がインストールされていると、OS 全体が欠陥の影響を受けます。必ず更新してください。
OS名 | 対象となるバージョン | アドバイザリ |
---|---|---|
CentOS | 6.5 | CESA-2014:0376 |
Debian | wheezy, jessie, sid | DSA-2896-1 |
Fedora | 19, 20 | Status on CVE-2014-0160 |
FreeBSD | 10.0 | FreeBSD-SA-14:06 |
NetBSD | 6.0.x, 6.1.x | NetBSD Security Advisory 2014-004 |
OpenBSD | 5.4, 5.5 | 5.4 patch, 5.5 patch |
Red Hat | 6.5 | RHSA-2014:0376-1 |
Ubuntu | 12.04 LTS, 12.10, 13.10 | USN-2165-1 |
FreeBSD や NetBSD、OpenBSD、Mac OS X において、ports や pkgsrc、MacPorts といった 3rd パーティーソフトウェア管理パッケージを使用している場合は、そこでインストールしている OpenSSL についても更新が必要となる場合があります。
個別のアプリケーションソフトウェアの更新が必要となるもの
主に Windows 用のアプリケーションにおいて、独自に OpenSSL を使用しているために更新が必要となるものがあります。以下では更新済みバージョンを記載しています。
アプリケーション名 | 更新済みバージョン、更新プログラムなど |
---|---|
FFFTP | 1.98g2 |
FileMaker | FileMaker Server 13.0v1a, FileMaker Pro 13.0v3 および FileMaker Pro 13.0v3 Advanced, FileMaker Go 13.0.4 |
mod_spdy | v0.9.4.2 |
VMware | Response to OpenSSL security issue CVE-2014-0160 |
WinSCP | 5.5.3 |
ファームウェアの更新が必要となるもの
組み込み機器のファームウェアに OpenSSL が組み込まれている場合、ファームウェアの更新が必要となります。
ハードウェア名 | 更新済みバージョン、更新プログラムなど |
---|---|
各社 Android | Android 4.1.1 および 4.2.2 の一部が影響を受けます。確認アプリで影響の有無を確認した上で、端末メーカーにお問い合わせください |
Apple AirMac Extreme、 AirMac Time Capsule | AirPort Base Station Firmware Update 7.7.3 |
QNAP Turbo NAS | QNAP が Heartbleed OpenSSL の脆弱性を修正するためのシステムアップデートを発表 |
Synology NAS | DSM 5.0-4458 アップデート 2, DSM 4.2-3248, DSM 4.3-3827 アップデート 2, VPN Server 1.2-2414 & 1.2-2318 |
利用しているサービスでの対応が必要となるもの
利用している Web サービスが Heartbleed バグの影響を受けていた場合、サービスが更新されたことを確認した後に、念のためにパスワードを更新した方がよいでしょう。
- TB-URL(確認後に公開) http://133.83.35.83/blog/adiary.cgi/vuln/0678/tb/