各位

                                                   JPCERT-AT-2014-0013
                                                             JPCERT/CC
                                                            2014-04-08

                  <<< JPCERT/CC Alert 2014-04-08 >>>

                  OpenSSL の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2014/at140013.html


I. 概要

  OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの
脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付す
ることでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得
する可能性があります。

管理するシステムにおいて該当するバージョンの OpenSSL を使用している場合
は、OpenSSL Project が提供する修正済みバージョンへアップデートすること
をお勧めします。

    OpenSSL Project
    OpenSSL Security Advisory [07 Apr 2014] - TLS heartbeat read overrun (CVE-2014-0160)
    https://www.openssl.org/news/secadv_20140407.txt


II. 対象

  以下のバージョンが本脆弱性の影響を受けます。

  - OpenSSL 1.0.1 から 1.0.1f
  - OpenSSL 1.0.2-beta から 1.0.2-beta1


III. 対策

  OpenSSL Project から本脆弱性を修正したバージョンの OpenSSL が公開さ
れています。十分なテストを実施の上、修正済みバージョンを適用することを
お勧めします。OpenSSL 1.0.2-beta については、2014年4月8日現在、修正済
みのバージョンは公開されていません。

  修正済みバージョン
  - OpenSSL 1.0.1g

    Tarballs
    http://www.openssl.org/source/

  修正済みバージョンの適用が困難な場合は、以下の回避策の適用を検討して
ください。

  - 「-DOPENSSL_NO_HEARTBEATS」オプションを有効にして OpenSSL を再コンパイルする

  ディストリビュータが提供している OpenSSL をお使いの場合は、ディスト
リビュータなどの情報を参照してください。

    USN-2165-1: OpenSSL vulnerabilities
    http://www.ubuntu.com/usn/usn-2165-1/

    Important: openssl security update
    https://rhn.redhat.com/errata/RHSA-2014-0376.html

    Debian Security Advisory DSA-2896-1 openssl -- security update
    http://www.debian.org/security/2014/dsa-2896


IV. 参考情報

  JVNVU#94401838
  OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
  https://jvn.jp/vu/JVNVU94401838/index.html


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。


======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ