ニフクラ Information

このページではニフクラのトラブル・メンテナンス情報をお知らせしていきます。
 « 4/9:【ニフティクラウド DNS】 コントロールパネル/APIの一部機能制限を伴うメンテナンスのお知らせ【完了】 シンプルVPNの提供開始のお知らせ » 
2014年4月 9日(水)

お知らせ・キャンペーン4/9:【重要】OpenSSL heartbeatの脆弱性について【更新情報】

本件につきまして、確認、および対応方法についてお知らせします。

■確認方法

各OSごとに、以下のコマンドを実行のうえ影響を受ける OpenSSLのバージョンをご確認下さい。
該当しない場合につきましては本脆弱性の影響はございません。
※以下はアップデート後の結果となります。

【CentOS, RedHat】
# rpm -aq | grep ssl
openssl-1.0.1e-16.el6_5.7.x86_64
# yum list installed | grep openssl
openssl.x86_64         1.0.1e-16.el6_5.7

【Ubuntu, Debian】
# dpkg -l | grep openssl
ii  openssl 1.0.1-4ubuntu5.12  Secure Socket Layer (SSL) binary and related cryptographic tools
# dpkg -l | grep libssl
ii  libssl1.0.0   1.0.1-4ubuntu5.12   SSL shared libraries

該当バージョンをご利用の場合、以下の手順に従いアップデートおよびSSL証明書の
再発行対応を実施下さい。

■アップデート方法
お客様ご利用のOSにおいて、影響を受ける OpenSSL のバージョンを確認した場合、
最新版へアップデートを実施下さい。
その後、SSL証明書の再発行および交換作業を実施下さい。

① opensslを最新版へアップデート
【対応例: CentOS 6.Xの場合】
# yum list installed | grep openssl
openssl.x86_64 1.0.1e-XX.el6_X.X

⇒ 脆弱性に該当するバージョンであることを確認
⇒ opensslを利用するサービスを停止 等をお客様にて実施後、
   opensslを最新版へアップデートを実施
   
# yum install openssl -y
...(中略)...
# rpm -aq | grep ssl
openssl-1.0.1e-16.el6_5.7.x86_64

⇒ 脆弱性対応済みの最新バージョンとなっていることを確認
   詳細は以下のサイトでご確認ください
  https://www.jpcert.or.jp/at/2014/at140013.html

引き続き、SSL証明書の再発行及び交換作業を実施致します。

② SSL証明書の再発行および交換
各証明書の発行元により対応が異なります。以下のとおりご対応下さい。

・日本ジオトラスト
 1. コントロールパネルより、同一のFQDNで証明書を再度作成いただき、再発行された
   SSL証明書をダウンロード後、対象サーバーへ設定(入れ替え)をお願いします。
 2. コントロールパネルより対象のSSL証明書を選択いただき、プルダウンメニューより
  「証明書の削除」を実施ください。 

・サイバートラスト
 1. 対象のSSL証明書情報と共に、以下のお問い合わせ窓口まで再発行申請をお願いします。
  [必須情報] ※【Q8】詳細欄の「お問い合わせ内容」にご記入ください
  ・申請内容:SSL証明書再発行申請
  ・コモンネーム(FQDN):
  ・現在の有効期限:
  ・申請法人名:
 
 2. サイバートラスト社の準備が整い次第、ニフティよりお客様へご連絡いたします。
   ※申請頂いてから2営業日程度お時間を頂く場合があります。

 3. コントロールパネルより、SSL証明書新規発行の手続きをお願いします。
 4. 再発行されたSSL証明書をダウンロードし、対象サーバーへ設定(入れ替え)を
   お願いします。

 5. コントロールパネル上の証明書について、入れ替え前の証明書を削除するため、
   入替えが完了しましたら再度以下の窓口までご連絡をお願いします。
  [必須情報] ※【Q8】詳細欄の「お問い合わせ内容」にご記入ください
  ・申請内容:SSL証明書削除申請
  ・コモンネーム(FQDN):
  ・現在の有効期限:
   ・申請法人名:

お客様にはお手数をおかけいたしますがよろしくお願い申し上げます。


2014年4月9日 追記
--------------------------------------


このたび、OpenSSL Project が提供する OpenSSLについてメモリ内の情報が取得される恐れがある脆弱性が公表されました。
本件につきまして、弊社における対応について下記の通りご案内いたします。

なお、ニフティクラウドが提供しておりますロードバランサーのSSLアクセラレーターにつきましては、本件の影響がないことを確認しております。

■対象となるOpenSSLバージョン
以下のバージョンが本脆弱性の影響を受けます。
 - OpenSSL 1.0.1 から 1.0.1f
  - OpenSSL 1.0.2-beta から 1.0.2-beta

■対象OS
・Red Hat Enterprise Linux
・CentOS
・Ubuntu
・Debian

■参考情報

サーバー側での確認および対応方法につきましては、別途こちらに掲載致します。今しばらくお待ちください。

お客様にはお手数をおかけいたしますがよろしくお願い申し上げます。
投稿者 ニフクラスタッフ 2014年4月 9日(水) | 固定リンク
 « 4/9:【ニフティクラウド DNS】 コントロールパネル/APIの一部機能制限を伴うメンテナンスのお知らせ【完了】 シンプルVPNの提供開始のお知らせ »