ニフクラ Information

このページではニフクラのトラブル・メンテナンス情報をお知らせしていきます。
 « 6/15:【ニフティクラウド DNS】上位組織メンテナンスのお知らせ 6/28:【ニフティクラウド DNS】上位組織メンテナンスのお知らせ » 
2014年6月10日(火)

お知らせ・キャンペーン6/6:【重要】OpenSSL 脆弱性(CVE-2014-0224)について【更新情報】

本件に関する、L7ロードバランサー(Stingray Traffic Manager)の確認結果について
お知らせします。

L7ロードバランサー(Stingray Traffic Manager)につきまして、確認を行ったところ
StingrayのSSL機能に脆弱性はございませんでした。

ただし、Stingrayの仮想マシンにてOS上のコマンド(wget等)を利用し、
httpsアクセスをされている場合等(libsslのライブラリが利用されている場合)は、
本記事に記載しております、以下の「■確認方法」を確認の上、アップデートを
お願いいたします。

お客様にはお手数をおかけいたしますがよろしくお願い申し上げます。

2014年6月10日 追記
------------------------------------------------------------

本件につきまして、確認、および対応方法についてお知らせします。


■確認方法

各OSごとに、以下のコマンドを実行のうえ影響を受ける OpenSSLのバージョンをご確認下さい。
該当しない場合につきましては本脆弱性の影響はございません。
※以下はアップデート後の結果となります。

【CentOS, RedHat】
# rpm -aq | grep ssl
openssl-1.0.1e-16.el6_5.14.x86_64
# yum list installed | grep openssl
openssl.x86_64         1.0.1e-16.el6_5.14

【Ubuntu】
# dpkg -l | grep openssl
ii  openssl                           1.0.1-4ubuntu5.13                 Secure Socket Layer (SSL) binary and
# dpkg -l | grep libssl
ii  libssl1.0.0   1.0.1-4ubuntu5.13   SSL shared libraries

該当バージョンをご利用の場合、以下の手順に従いアップデートおよびSSL証明書の
再発行対応を実施下さい。

■アップデート方法
お客様ご利用のOSにおいて、影響を受ける OpenSSL のバージョンを確認した場合、
最新版へアップデートを実施下さい。

【対応例: CentOS 6.Xの場合】
# yum list installed | grep openssl
openssl.x86_64 1.0.1e-XX.el6_X.X

⇒ 脆弱性に該当するバージョンであることを確認
⇒ opensslを利用するサービスを停止 等をお客様にて実施後、
   opensslを最新版へアップデートを実施
  
# yum install openssl -y
...(中略)...
# rpm -aq | grep ssl
openssl-1.0.1e-16.el6_5.14.x86_64

⇒ 脆弱性対応済みの最新バージョンとなっていることを確認
   詳細は以下のサイトでご確認ください
   【CentOS/Redhat 6.x】
   https://rhn.redhat.com/errata/RHSA-2014-0625.html
   【CentOS/Redhat 5.x】
   https://rhn.redhat.com/errata/RHSA-2014-0624.html
   【Ubuntu】
   http://www.ubuntu.com/usn/usn-2232-1/


お客様にはお手数をおかけいたしますがよろしくお願い申し上げます。

2014年6月6日 追記
------------------------------------------------------------

このたび、OpenSSL Project が提供する OpenSSLについて、暗号通信の情報が漏洩する
恐れがある脆弱性が公表されました。
本件につきまして、弊社における対応について下記の通りご案内いたします。
 

なお、ニフティクラウドが提供しておりますロードバランサーのSSLアクセラレーターにつきましては、本件の影響がないことを確認しております。
※L7ロードバランサー(Stingray Traffic Manager)につきましては、現在確認中です。
 

■対象となるOpenSSLバージョン
以下のバージョンが本脆弱性の影響を受けます。

サーバ側
        OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g およびそれ以前
クライアント側
        OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前
        OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前
        OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前

■対象OS
・Red Hat Enterprise Linux
・CentOS
・Ubuntu
・Debian

■参考情報

OpenSSL における Change Cipher Spec メッセージの処理に脆弱性(出典:JVN)

JVNDB-2014-000048(出典:JVN iPedia)

サーバー側での確認および対応方法につきましては、別途こちらに掲載致します。
今しばらくお待ちください。

お客様にはお手数をおかけいたしますがよろしくお願い申し上げます。

投稿者 ニフクラスタッフ 2014年6月10日(火) | 固定リンク
 « 6/15:【ニフティクラウド DNS】上位組織メンテナンスのお知らせ 6/28:【ニフティクラウド DNS】上位組織メンテナンスのお知らせ »