-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2014-0013
                                                             JPCERT/CC
                                                      2014-04-08(新規)
                                                      2014-04-11(更新)

                  <<< JPCERT/CC Alert 2014-04-08 >>>

                  OpenSSL の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2014/at140013.html


I. 概要

  OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの
脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付す
ることでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得
する可能性があります。

管理するシステムにおいて該当するバージョンの OpenSSL を使用している場合
は、OpenSSL Project が提供する修正済みバージョンへアップデートすること
をお勧めします。

    OpenSSL Project
    OpenSSL Security Advisory [07 Apr 2014] - TLS heartbeat read overrun (CVE-2014-0160)
    https://www.openssl.org/news/secadv_20140407.txt

*** 更新: 2014年04月11日追記 *****************************************
本脆弱性を使用する攻撃コードが公開されており、また、警察庁によると攻撃
コードを用いたと思われる通信が観測されているとのことですので、至急、
「III. 対策」の実施を検討して下さい。
**********************************************************************


II. 対象

  以下のバージョンが本脆弱性の影響を受けます。

  - OpenSSL 1.0.1 から 1.0.1f
  - OpenSSL 1.0.2-beta から 1.0.2-beta1

*** 更新: 2014年04月11日追記 *****************************************
OpenSSL が組み込まれている製品やソフトウエアも本脆弱性の影響を受ける可
能性がありますので、製品やソフトウエアの開発元の情報をご確認ください。
**********************************************************************


III. 対策

  OpenSSL Project から本脆弱性を修正したバージョンの OpenSSL が公開さ
れています。十分なテストを実施の上、修正済みバージョンを適用することを
お勧めします。OpenSSL 1.0.2-beta については、2014年4月8日現在、修正済
みのバージョンは公開されていません。

  修正済みバージョン
  - OpenSSL 1.0.1g

    Tarballs
    http://www.openssl.org/source/

  修正済みバージョンの適用が困難な場合は、以下の回避策の適用を検討して
ください。

  - 「-DOPENSSL_NO_HEARTBEATS」オプションを有効にして OpenSSL を再コンパイルする

  ディストリビュータが提供している OpenSSL をお使いの場合は、ディスト
リビュータなどの情報を参照してください。

    USN-2165-1: OpenSSL vulnerabilities
    http://www.ubuntu.com/usn/usn-2165-1/

    Important: openssl security update
    https://rhn.redhat.com/errata/RHSA-2014-0376.html

    Debian Security Advisory DSA-2896-1 openssl -- security update
    http://www.debian.org/security/2014/dsa-2896

*** 更新: 2014年04月11日追記 *****************************************
該当するバージョンの OpenSSL を使用したサーバを運用している場合、秘密
鍵やアカウント情報などの重要な情報が既に漏えいしている可能性があります。
新しい秘密鍵を作成し、サーバ証明書を再発行するなど、重要な情報が漏えい
している可能性を考慮して、対策を行うことをお勧めします。
**********************************************************************


IV. 参考情報

  JVNVU#94401838
  OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
  https://jvn.jp/vu/JVNVU94401838/index.html

*** 更新: 2014年04月11日追記 *****************************************
  CERT/CC Vulnerability Note VU#720951
  OpenSSL heartbeat information disclosure
  https://www.kb.cert.org/vuls/id/720951

  独立行政法人情報処理推進機構(IPA)
  OpenSSL の脆弱性対策について(CVE-2014-0160)
  https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

  警察庁 @Police
  OpenSSLの脆弱性を標的としたアクセスの増加について
  https://www.npa.go.jp/cyberpolice/detect/pdf/20140410.pdf
**********************************************************************


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

________
改訂履歴
2014-04-08 初版
2014-04-11 「I. 概要」、「II. 対象」、「III. 対策」、「IV. 参考情報」を更新

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJTR6tiAAoJEDF9l6Rp7OBIvUkIAJWzyxagxnNYQ2//iZyw2584
yAfoiE1E3ply8ENdl+SudV/DTwr7H3jz3yT5adCggth7QxEQgX7dpgQ/Pgpv8Z17
4IpEUdtsi6sMtdVcy9x3EPmSk2zyoLoLq2QuViok3fpfTGWD4ft7xNKSR3phYSCX
MkiyyeBgI0txgdCbjEATbBT4tecQYVsMMYmDh253cAr+/BR60ZPFGz6ggBnjEnbo
bhyxGWuFxr/XDvAaZzRw/TMbl+K8IMuGQLDCVzdyPpfK27jU2XiAWIZTzxL4En2c
TA+X+94dqksUDzQoiOGSGUGN/FtE8AGMPlGLkiEoMTz/zMp3Cnp36LxB3yYC5FU=
=4JDX
-----END PGP SIGNATURE-----