2015年03月20日

OpenSSLの公開されましたセキュリティアップデートについてご案内いたします。

2015年3月19日、OpenSSLの新バージョン が公開されました。セキュリティアドバイザリーによると、脆弱性の修正は14項目にわたり、危険度「高」が2つ、危険度「中」が9つ、危険度「低」が3つとのことです。

※ご利用のサーバ証明書に影響はございません。証明書の再発行や失効、再設定等の対応は不要です。

---

【危険度「高」の脆弱性について】

• １）CVE-2015-0291 – "ClientHello sigalgs DoS".
  当脆弱性は、OpenSSL 1.0.2のみが対象で、この脆弱性を突かれるとDoS攻撃を仕掛けられる可能性があります。 当脆弱性は、OpenSSL1.0.2をご利用中のお客様に影響があります。1.0.2aにアップデートをしてください。加えて、ソフトウェアベンダーとともに最新のセキュリティアドバイザリーと利用可能なアップデートをご確認ください。
• 2) CVE-2015-0204 – "RSA silently downgrades to EXPORT_RSA".
  当脆弱性は、2015年2月にすでに危険度「低」として公表されている「FREAK」と呼ばれる脆弱性が危険度「高」に昇格したものです。この変更の理由は、最新の研究結果によると影響を受ける範囲が当初の想定よりも広かったためとのことです。

 

【対処方法】

当脆弱性は、OpenSSLのバージョン1.0.1, 1.0.0, 0.9.8に影響があります。
該当のバージョンをご利用の方は、以下のようにアップデートをしてください。

• OpenSSL 1.0.1をご利用中のお客様　⇒　1.0.1kにアップグレード
• OpenSSL 1.0.0をご利用中のお客様　⇒　1.0.0pにアップグレード
• OpenSSL 0.9.8をご利用中のお客様　⇒　0.9.8zdにアップグレード

 

【その他】

ソフトウェアベンダーとともに最新のセキュリティアドバイザリーと利用可能なアップデートをご確認ください。

 

---

【参考 】

• [openssl-announce] Forthcoming OpenSSL releases
• OpenSSLのセキュリティアップデートが公開へ（ZDNet Japan記事）

 

以上