ようこそゲストさん

特に重要なセキュリティ欠陥・ウイルス情報

2014/04/24(木) OpenSSL のセキュリティ欠陥(Heartbleed バグ)について

マルチOS

暗号ライブラリ OpenSSL 1.0.1〜1.0.1f、1.0.2-beta1 に欠陥があり、最大 64k バイトのメモリー内容が、接続しているクライアントあるいはサーバーに漏洩する「Heartbleed(心臓出血)バグ」の存在が明らかとなっています。マスメディアでも広く報道されており、ご存じの方も多いかと思います。

理工学部内において該当するサーバーを稼働させていたサイトについては、既に対応されているか、あるいは個別に対応を依頼しています。

しかし上記のように、この欠陥はサーバーだけでなくクライアントにも影響します。欠陥のあるクライアントソフトウェア(Web ブラウザや FTP ソフトなど)を使って悪意のあるサーバーに接続すると、クライアント内部のメモリーが読み取られ、アカウント情報(ユーザー名、パスワード)などが漏洩する可能性があります。

OS 標準の OpenSSL ライブラリの更新が必要なもの

Linux や FreeBSD といったフリー OS では OpenSSL が標準的に使用されているため、該当するバージョンの OpenSSL がインストールされていると、OS 全体が欠陥の影響を受けます。必ず更新してください。

OS名対象となるバージョンアドバイザリ
CentOS6.5CESA-2014:0376
Debianwheezy, jessie, sidDSA-2896-1
Fedora19, 20Status on CVE-2014-0160
FreeBSD10.0FreeBSD-SA-14:06
NetBSD6.0.x, 6.1.xNetBSD Security Advisory 2014-004
OpenBSD5.4, 5.55.4 patch, 5.5 patch
Red Hat6.5RHSA-2014:0376-1
Ubuntu12.04 LTS, 12.10, 13.10USN-2165-1

FreeBSD や NetBSD、OpenBSD、Mac OS X において、ports や pkgsrc、MacPorts といった 3rd パーティーソフトウェア管理パッケージを使用している場合は、そこでインストールしている OpenSSL についても更新が必要となる場合があります。

個別のアプリケーションソフトウェアの更新が必要となるもの

主に Windows 用のアプリケーションにおいて、独自に OpenSSL を使用しているために更新が必要となるものがあります。以下では更新済みバージョンを記載しています。

アプリケーション名更新済みバージョン、更新プログラムなど
FFFTP1.98g2
FileMakerFileMaker Server 13.0v1a, FileMaker Pro 13.0v3 および FileMaker Pro 13.0v3 Advanced, FileMaker Go 13.0.4
mod_spdyv0.9.4.2
VMwareResponse to OpenSSL security issue CVE-2014-0160
WinSCP5.5.3

ファームウェアの更新が必要となるもの

組み込み機器のファームウェアに OpenSSL が組み込まれている場合、ファームウェアの更新が必要となります。

ハードウェア名更新済みバージョン、更新プログラムなど
各社 AndroidAndroid 4.1.1 および 4.2.2 の一部が影響を受けます。確認アプリで影響の有無を確認した上で、端末メーカーにお問い合わせください
Apple AirMac Extreme、
AirMac Time Capsule
AirPort Base Station Firmware Update 7.7.3
QNAP Turbo NASQNAP が Heartbleed OpenSSL の脆弱性を修正するためのシステムアップデートを発表
Synology NASDSM 5.0-4458 アップデート 2, DSM 4.2-3248, DSM 4.3-3827 アップデート 2, VPN Server 1.2-2414 & 1.2-2318

利用しているサービスでの対応が必要となるもの

利用している Web サービスが Heartbleed バグの影響を受けていた場合、サービスが更新されたことを確認した後に、念のためにパスワードを更新した方がよいでしょう。


名前:  非公開コメント   

  • TB-URL(確認後に公開)  http://133.83.35.83/blog/adiary.cgi/vuln/0678/tb/