各位
OpenSSL の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140013.html
I. 概要
OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付することでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得する可能性があります。
管理するシステムにおいて該当するバージョンの OpenSSL を使用している場合は、OpenSSL Project が提供する修正済みバージョンへアップデートすることをお勧めします。
OpenSSL Project
OpenSSL Security Advisory [07 Apr 2014] - TLS heartbeat read overrun (CVE-2014-0160)
https://www.openssl.org/news/secadv_20140407.txt
*** 更新: 2014年04月11日追記 ****************
本脆弱性を使用する攻撃コードが公開されており、また、警察庁によると攻撃コードを用いたと思われる通信が観測されているとのことですので、至急、「III. 対策」の実施を検討して下さい。
**************************************************
II. 対象
以下のバージョンが本脆弱性の影響を受けます。
- OpenSSL 1.0.1 から 1.0.1f
- OpenSSL 1.0.2-beta から 1.0.2-beta1
*** 更新: 2014年04月11日追記 ****************
OpenSSL が組み込まれている製品やソフトウエアも本脆弱性の影響を受ける可能性がありますので、製品やソフトウエアの開発元の情報をご確認ください。
**************************************************
III. 対策
OpenSSL Project から本脆弱性を修正したバージョンの OpenSSL が公開されています。十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。OpenSSL 1.0.2-beta については、2014年4月8日現在、修正済みのバージョンは公開されていません。
修正済みバージョン
- OpenSSL 1.0.1g
Tarballs
http://www.openssl.org/source/
修正済みバージョンの適用が困難な場合は、以下の回避策の適用を検討してください。
- 「-DOPENSSL_NO_HEARTBEATS」オプションを有効にして OpenSSL を再コンパイルする
ディストリビュータが提供している OpenSSL をお使いの場合は、ディストリビュータなどの情報を参照してください。
USN-2165-1: OpenSSL vulnerabilities
http://www.ubuntu.com/usn/usn-2165-1/
Important: openssl security update
https://rhn.redhat.com/errata/RHSA-2014-0376.html
Debian Security Advisory DSA-2896-1 openssl -- security update
http://www.debian.org/security/2014/dsa-2896
*** 更新: 2014年04月11日追記 ****************
該当するバージョンの OpenSSL を使用したサーバを運用している場合、秘密鍵やアカウント情報などの重要な情報が既に漏えいしている可能性があります。新しい秘密鍵を作成し、サーバ証明書を再発行するなど、重要な情報が漏えいしている可能性を考慮して、対策を行うことをお勧めします。
**************************************************
IV. 参考情報
JVNVU#94401838
OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU94401838/index.html
*** 更新: 2014年04月11日追記 ****************
CERT/CC Vulnerability Note VU#720951
OpenSSL heartbeat information disclosure
https://www.kb.cert.org/vuls/id/720951
独立行政法人情報処理推進機構(IPA)
OpenSSL の脆弱性対策について(CVE-2014-0160)
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
警察庁 @Police
OpenSSLの脆弱性を標的としたアクセスの増加について
https://www.npa.go.jp/cyberpolice/detect/pdf/20140410.pdf
**************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2014-04-08 初版
2014-04-11 「I. 概要」、「II. 対象」、「III. 対策」、「IV. 参考情報」を更新
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2014-0013
JPCERT/CC
2014-04-08(新規)
2014-04-11(更新)
JPCERT/CC Alert 2014-04-08
OpenSSL の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140013.html
I. 概要
OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付することでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得する可能性があります。
管理するシステムにおいて該当するバージョンの OpenSSL を使用している場合は、OpenSSL Project が提供する修正済みバージョンへアップデートすることをお勧めします。
OpenSSL Project
OpenSSL Security Advisory [07 Apr 2014] - TLS heartbeat read overrun (CVE-2014-0160)
https://www.openssl.org/news/secadv_20140407.txt
*** 更新: 2014年04月11日追記 ****************
本脆弱性を使用する攻撃コードが公開されており、また、警察庁によると攻撃コードを用いたと思われる通信が観測されているとのことですので、至急、「III. 対策」の実施を検討して下さい。
**************************************************
II. 対象
以下のバージョンが本脆弱性の影響を受けます。
- OpenSSL 1.0.1 から 1.0.1f
- OpenSSL 1.0.2-beta から 1.0.2-beta1
*** 更新: 2014年04月11日追記 ****************
OpenSSL が組み込まれている製品やソフトウエアも本脆弱性の影響を受ける可能性がありますので、製品やソフトウエアの開発元の情報をご確認ください。
**************************************************
III. 対策
OpenSSL Project から本脆弱性を修正したバージョンの OpenSSL が公開されています。十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。OpenSSL 1.0.2-beta については、2014年4月8日現在、修正済みのバージョンは公開されていません。
修正済みバージョン
- OpenSSL 1.0.1g
Tarballs
http://www.openssl.org/source/
修正済みバージョンの適用が困難な場合は、以下の回避策の適用を検討してください。
- 「-DOPENSSL_NO_HEARTBEATS」オプションを有効にして OpenSSL を再コンパイルする
ディストリビュータが提供している OpenSSL をお使いの場合は、ディストリビュータなどの情報を参照してください。
USN-2165-1: OpenSSL vulnerabilities
http://www.ubuntu.com/usn/usn-2165-1/
Important: openssl security update
https://rhn.redhat.com/errata/RHSA-2014-0376.html
Debian Security Advisory DSA-2896-1 openssl -- security update
http://www.debian.org/security/2014/dsa-2896
*** 更新: 2014年04月11日追記 ****************
該当するバージョンの OpenSSL を使用したサーバを運用している場合、秘密鍵やアカウント情報などの重要な情報が既に漏えいしている可能性があります。新しい秘密鍵を作成し、サーバ証明書を再発行するなど、重要な情報が漏えいしている可能性を考慮して、対策を行うことをお勧めします。
**************************************************
IV. 参考情報
JVNVU#94401838
OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU94401838/index.html
*** 更新: 2014年04月11日追記 ****************
CERT/CC Vulnerability Note VU#720951
OpenSSL heartbeat information disclosure
https://www.kb.cert.org/vuls/id/720951
独立行政法人情報処理推進機構(IPA)
OpenSSL の脆弱性対策について(CVE-2014-0160)
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
警察庁 @Police
OpenSSLの脆弱性を標的としたアクセスの増加について
https://www.npa.go.jp/cyberpolice/detect/pdf/20140410.pdf
**************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2014-04-08 初版
2014-04-11 「I. 概要」、「II. 対象」、「III. 対策」、「IV. 参考情報」を更新
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
