OpenSSL CCS Injection の脆弱性 (CVE-2014-0224) の影響と対処
OpenSSL CCS Injection の脆弱性
[本ドキュメントの対象となる製品]
- Asianux Server 3 for x86 (32bit)
- Asianux Server 3 for x86_64 (64bit)
- Asianux Server 4 for x86 (32bit)
- Asianux Server 4 for x86_64 (64bit)
[概要]
OpenSSL に重大な脆弱性が発見されました。
該当するバージョンを使用している場合、攻撃者により情報が漏洩する恐れがあります。下記 [影響の有無の確認方法] を行い、影響の ある OpenSSL を使用している場合は、ただちに本ドキュメントの [解決方法] を行ってください。
[詳細]
OpenSSL の CCS (Change Cipher Spec) Injection の脆弱性 (CVE-2014-0224) に関する問題となります。サーバとクライアントの間の SSL 通信が中間者攻撃 (man-in-the-middle attack) によって解読されたり、改ざんされたりする可能性があります。
OpenSSL のサーバ側、クライアント側ともに脆弱性のあるバージョンの OpenSSL を使用している場合のみ本脆弱性の影響があります。
[影響の有無の確認方法]
下記手順にて、OS と サーバ側、クライアント側の OpenSSL パッケージのバージョンを確認し、【対応表】にて影響の有無を確認してください。
1.OS のバージョンを確認してください。
# cat /etc/asianux-release
Asianux Server 4 (Hiranya SP3)
2.rpm コマンドで openssl パッケージのバージョンを確認してください。
# rpm -q openssl
openssl-1.0.1e-16.AXS4.7.x86_64
【対応表】
サーバ側 / クライアント側 | OS | OpenSSL のバージョン | 本脆弱性の影響 |
---|---|---|---|
サーバ側 | Asianux Server 3 | openssl-0.9.8e-27.AXS3.3 未満のすべてのバージョン (openssl0.9.7a を含む) | なし |
Asianux Server 4 | openssl-1.0.1e-16.AXS4.4 以上 openssl-1.0.1e-16.AXS4.14 未満のバージョン |
あり | |
openssl-1.0.1-27.AXS4.2 以下 (openssl-1.0.0、openssl-0.9.8e を含む) |
なし | ||
クライアント側 | Asianux Server 3 | openssl-0.9.8e-27.AXS3.3 未満のすべてのバージョン (openssl0.9.7a を含む) | あり |
Asianux Server 4 | openssl-1.0.1e-16.AXS4.14 未満のすべてのバージョン (openssl-1.0.0、openssl-0.9.8e を含む) |
あり |
[解決方法]
OpenSSL のパッケージをアップデートしてください。
以下の URL からダウンロードすることができます。
Asianux Server 4
openssl-1.0.1e-16.AXS4.14
https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=3...
openssl098e-0.9.8e-18.AXS4.2
https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=3...
Asianux Server 3
openssl-0.9.8e-27.AXS3.3
https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=3...
openssl097a-0.9.7a-12.AXS3.1
https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=3...
[参考 URL]
OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
http://jvn.jp/jp/JVN61247051/index.html
[注意事項]
本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等を元にした参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。
[更新履歴]
2014年6月 6日 新規作成
2014年6月10日 対応表修正