【重要】 またOpenSSLに脆弱性 - 至急対策を

4月のハートブリード脆弱性が記憶に新しい OpenSSL ですが、また新たに脆弱性が発見されました。
@ITの記事によると「Heartbleedと同等か、それ以上深刻な問題となる可能性がある」との事。
問題があるバージョンを利用している場合、早めに対策を行いましょう。

2014/06/06 14:10 一部追記

はじめに

今年4月に ハートブリード で一世を風靡した OpenSSL ですが、また脆弱性が発見されました。
システム管理者は粛々と対応しておきましょう。

対応先

Amazon Linux

AWS の アナウンスOpenSSL Security Advisory によれば、Amazon Linux の場合には、openssl-1.0.1g-1.70.amzn1 で対応しているとの事。

上記 JVN#61247051 では、1.0.1g およびそれ以前が影響を受けるシステムという記載があるが、上記バージョンで大丈夫なようなので、1.0.1h 以降にバージョンが上がっていないからといって慌てないようにしよう。( って、オレの事か... )

アップデート方法はいつもの通り

$ sudo yum update openssl

または、

$ sudo yum update

アップデート適用後、OpenSSLを利用しているサービスを再起動する事も忘れずに。

他ディストリビューションでも対応が行われているようです。

「最近、Heartbleed対策でサーバー側のOpenSSLが更新された結果、攻撃可能な範囲が広がった可能性が高い」(レピダム)。同社は、 MITMという攻撃の性質上、状況次第であるとしながらも、場合によっては「Heartbleedと同等か、それ以上深刻な問題となる可能性がある」と考 えているという。

との事、詳細はリンク先を参照して頂きたいが、ハートブリードと同様に、攻撃を受けたかどうかを確認するのは困難との事。
早急に対策を講じるべきでしょう。


この脆弱性は日本のセキュリティ企業 レピダム の菊池さんによって発見されました。
菊池さん( & レピダム ) グッジョブ! ( って、脆弱性の発見を喜ぶべきではないのかもしれませんが )

ハートブリード某企業 が名を挙げたように、OpenSSLはセキュリティ企業にとっては、今ホットな調査対象なのかもしれません。
だとすると、今後も暫くの間、OpenSSLのこれまで発見されていなかった脆弱性が発見される事が多くなるのかも。