サービス情報

クララオンライン|カスタマーサポート

ホーム > お知らせ一覧 > お知らせ記事

お知らせ

OpenSSL の脆弱性 (CVE-2014-0160) に関する注意喚起

2014/4/9 (水) 更新

平素は弊社サービスをご利用いただきましてありがとうございます。

このたび、暗号通信に利用されるの「OpenSSL」にリモートからメモリ内の情報が取得される可能性のある脆弱性が公表されましたため、問題の概要と弊社における対応について下記の通りご案内いたします。

お客様にはお手数をおかけいたしますが、サービスの安定的な運用を行うため、ご理解・ご協力の程、よろしくお願い申し上げます。

本件につきまして、お客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、同内容のお知らせメールの返信にてお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。

問題の概要

RedHat Enterprise Linux もしくは CentOS に含まれる openssl パッケージをご利用のサーバにおいて、遠隔の第三者によってメモリ内の情報が取得される可能性がございます。

この脆弱性には、CVE 識別番号として CVE-2014-0160 が割り当てられています。


詳細に関しましては、Japan Vulnerability Notes 等の情報もご参照ください。

影響を受けるOSとサーバ

  • 本脆弱性は、OpenSSL を利用しているサーバすべてに影響するわけではございません

  • 本脆弱性の影響を受けるパッケージ
  • Red Hat Enterprise Linux 6.x系 / CentOS 6.x系 のサーバ
    openssl 1.0.1e バージョンパッケージ
  • Microsoft Windows のサーバ
    弊社サービス環境におきましては本脆弱性の影響はございません。


2014/4/9 10:30更新
Red Hat Enterprise Linux / CentOS 6.0 ~ 6.4 の場合でも、過去に openssl パッケージをアップデートしていると脆弱性の存在するパッケージがインストールされている場合があることが判明いたしましたので、アナウンス内容を訂正いたします。

対応策

 OS のディストリビュータである Red Hat 社、ならびに CentOS Project より、本脆弱性を修正したパッケージが、提供されておりますので、openssl パッケージの更新をお勧めいたします。


※本脆弱性の影響があるかどうかを判別する方法

サーバに SSH でログインし、以下のコマンドを入力してください。

  • rpm -qa | egrep '^openssl-'

特に何も表示されない場合には、openssl パッケージがインストールされておりま せんので、脆弱性の影響はございません。openssl から始まる文字列が表示された場 合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケー ジかどうかご確認ください。


お客様による OpenSSL アップデート方法

お客様にてアップデートを行われる場合には、修正済みパッケージをダウンロー ドいただき、更新作業を実施していただきます。具体的な手順につきましてはお客様による OpenSSL アップデート方法をご参照ください。

お客様による OpenSSL アップデート方法
http://support.clara.jp/news/20140408_openssl_update.htm
OpenSSL パッケージアップデート依頼方法
 本脆弱性については、アップデート方法がわからないお客様を対象に、弊社に てアップデート作業を無償で代行させていただきます。
◇ OpenSSL パッケージアップデート (CVE-2014-0160) 依頼フォーム

※ご依頼やお問い合わせは support@clara.ne.jp までご連絡いただきますようお願い申し上げます。

※作業時間は原則として弊社営業時間内 (平日10時~18時) とさせていただいております。 作業日・作業時間のご指定はいただけませんので、あらかじめご了承ください。
なお、OpenSSLのアップデート作業に伴い、サーバ全体の再起動が発生いたしますので、 10分程度 サーバにアクセスできない場合がございます

※Web サーバの起動にパスフレーズが必要な場合は、アップデート代行対象外とさせていただきますので、お客様での対応をお願いいたします。



OpenSSL のバージョン確認

サーバ上の openssl パッケージが脆弱性対応済みのバージョンとなっているかを 確認するには、以下の各 OS 毎のパッケージのバージョン情報をご参照ください。

Red Hat Enterprise Linux 6 openssl-1.0.1e-16.el6_5.7以降
CentOS 6 openssl-1.0.1e-16.el6_5.7以降
※2014年4月8日現在の情報となります。