現在位置: ホーム / セキュリティアップデート情報 / OpenSSL の脆弱性 "Heartbleed" (CVE-2014-0160) の影響と対処

OpenSSL の脆弱性 "Heartbleed" (CVE-2014-0160) の影響と対処

OpenSSL の脆弱性 "Heartbleed" (CVE-2014-0160)

[本ドキュメントの対象となる製品]

  • Asianux Server 3 for x86 (32bit)
  • Asianux Server 3 for x86_64 (64bit)
  • Asianux Server 4 for x86 (32bit)
  • Asianux Server 4 for x86_64 (64bit)

[概要]

OpenSSL のバージョン 1.0.1e-16.AXS4.4 に重大な脆弱性が発見されました。
該当するバージョンを使用している場合、攻撃者により情報が漏洩する恐れがあります。下記 [影響の有無の確認方法] を行い、影響のある OpenSSL を使用している場合は、ただちに本ドキュメントの [解決方法] を行ってください。

[詳細]

OpenSSL の脆弱性 CVE-2014-0160 は HeartbeatMessage のメッセージ処理に関する問題となります。この HeartbeatMessage 機能はバージョン 1.0.0h から 1.0.1 の間に実装されているものです。

2014/03/19 にリリースされたバージョン 1.0.1e-16.AXS4.4 をご使用の場合のみ、本脆弱性の影響があります。

[影響の有無の確認方法]

下記手順にて、OS と OpenSSL のバージョンを確認し、【対応表】にて影響の有無を確認してください。

1. OS のバージョンを確認してください。

# cat /etc/asianux-release
Asianux Server 4 (Hiranya SP3)

2. rpm コマンドで openssl のバージョンを確認してください。

# rpm -q openssl
openssl-1.0.1e-16.AXS4.4.x86_64

【対応表】

OSopenssl のバージョン本脆弱性の影響
Asianux Server 3 openssl-0.9.8e なし
Asianux Server 4
openssl-1.0.1 以下 なし
openssl-1.0.1e
(リリース日 : 2014/03/19)
あり

[解決方法]

1. 下記のどちらかの方法で OpenSSL のパッケージをアップデートしてください。

a. yum コマンドを使用する場合

# yum update openssl

b. rpm コマンドを使用する場合

最新のパッケージは以下からダウンロードすることができます。
openssl-1.0.1e-16.AXS4.7
https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=3...

Asianux Server 4 for x86 (32bit) をご使用の場合

openssl-1.0.1e-16.AXS4.7.i686.rpm
openssl-devel-1.0.1e-16.AXS4.7.i686.rpm

# rpm -Uvh openssl-1.0.1e-16.AXS4.7.i686.rpm openssl-devel-1.0.1e-16.AXS4.7.i686.rpm

Asianux Server 4 for x86_64 (64bit) をご使用の場合

openssl-1.0.1e-16.AXS4.7.i686.rpm
openssl-devel-1.0.1e-16.AXS4.7.i686.rpm
openssl-1.0.1e-16.AXS4.7.x86_64.rpm
openssl-devel-1.0.1e-16.AXS4.7.x86_64.rpm

# rpm -Fvh openssl-1.0.1e-16.AXS4.7.i686.rpm openssl-devel-1.0.1e-16.AXS4.7.i686.rpm openssl-1.0.1e-16.AXS4.7.x86_64.rpm openssl-devel-1.0.1e-16.AXS4.7.x86_64.rpm

2. 更新を有効にするため、アップデート後にシステムを再起動してください。

※OpenSSL ライブラリにリンクしているサービス (httpd など) をすべて再起動することでも可能ですが、確実に更新を行うためシステムの再起動を推奨します。

[参考 URL]

OpenSSL の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140013.html

Asianux Technical Support Network (TSN)
openssl-1.0.1e-16.AXS4.7
https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=3...

[注意事項]

本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等を元にした参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。

本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。

[更新履歴]

2014年 4月 17日 新規作成