サービス情報

クララオンライン|カスタマーサポート

ホーム > お知らせ一覧 > お知らせ記事

お知らせ

OpenSSL の脆弱性 (CVE-2014-0224) に関する注意喚起(専用サーバ/Sola Cloud/NIFTY Cloud/鴻図雲シリーズ)

2014/6/9 (水) 更新

平素は弊社サービスをご利用いただきましてありがとうございます。

このたび、暗号通信に利用されるの「OpenSSL」にリモートから通信が盗聴および改ざんされる可能性のある脆弱性が公表されましたため、問題の概要と弊社における対応について下記の通りご案内いたします。

お客様にはお手数をおかけいたしますが、サービスの安定的な運用を行うため、ご理解・ご協力の程、よろしくお願い申し上げます。

本件につきまして、お客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、同内容のお知らせメールの返信にてお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。

問題の概要

RedHat Enterprise Linux もしくは CentOS に含まれる openssl パッケージをご利用のサーバにおいて、遠隔の第三者によって通信情報が盗聴および改ざん取得される可能性がございます。

この脆弱性には、CVE 識別番号として CVE-2014-0224 が割り当てられています。


詳細に関しましては、Japan Vulnerability Notes 等の情報もご参照ください。

影響を受けるOSとサーバ

  • 本脆弱性の影響を受けるパッケージ
  • RHEL 4 openssl 0.9.7a
    CentOS/RHEL 5 openssl 0.9.8b / 0.9.8e もしくは openssl097a
    CentOS/RHEL 6.0 openssl 1.0.0 / openssl 1.0.1e もしくは openssl098e
    ※2014年6月9日現在の情報となります。
    ※RHEL4は有償サポート延長プログラムをご購入のお客様のみがアップデート可能となります。
    ※CentOS 4は、ベンダーのサポート終了のため、パッチが提供されておりませんので、
    アップデートは不可となります。
    ※Microsoft Windows のサーバは、弊社サービス環境におきましては本脆弱性の影響はございません。


    対応策

     OS のディストリビュータである Red Hat 社、ならびに CentOS Project より、本脆弱性を修正したパッケージが、提供されておりますので、openssl パッケージの更新をお勧めいたします。


    ※本脆弱性の影響があるかどうかを判別する方法

    サーバに SSH でログインし、以下のコマンドを入力してください。

    rpm -qa | egrep '^openssl'

    特に何も表示されない場合には、openssl パッケージがインストールされておりま せんので、脆弱性の影響はございません。openssl から始まる文字列が表示された場 合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケー ジかどうかご確認ください。


    お客様による OpenSSL アップデート方法

    お客様にてアップデートを行われる場合には、修正済みパッケージをダウンロー ドいただき、更新作業を実施していただきます。具体的な手順につきましてはお客様による OpenSSL アップデート方法をご参照ください。

    お客様による OpenSSL アップデート方法
    http://support.clara.jp/news/20140609_openssl_update.htm
    OpenSSL パッケージアップデート依頼方法
     本脆弱性については、アップデート方法がわからないお客様を対象に、弊社に てアップデート作業を無償で代行させていただきます。
    ◇ OpenSSL パッケージアップデート (CVE-2014-0224) 依頼フォーム

    ※ご依頼やお問い合わせは support@clara.ne.jp までご連絡いただきますようお願い申し上げます。

    ※作業時間は原則として弊社営業時間内 (平日10時~18時) とさせていただいております。 作業日・作業時間のご指定はいただけませんので、あらかじめご了承ください。
    なお、OpenSSLのアップデート作業に伴い、サーバ全体の再起動が発生いたしますので、 10分程度 サーバにアクセスできない場合がございます

    ※Web サーバの起動にパスフレーズが必要な場合は、アップデート代行対象外とさせていただきますので、お客様での対応をお願いいたします。



    OpenSSL のバージョン確認

    サーバ上の openssl パッケージが脆弱性対応済みのバージョンとなっているかを 確認するには、以下の各 OS 毎のパッケージのバージョン情報をご参照ください。

    RHEL 4 openssl 0.9.7a-43.22.el4以降
    CentOS/RHEL 5 openssl 0.9.8e-27.el5_10.3以降 もしくは
    openssl097a-0.9.7a-12.el5_10.1以降
    CentOS/RHEL 6 openssl 1.0.1e-16.el6_5.14以降 もしくは
    openssl098e-0.9.8e-18.el6_5.2
    ※2014年6月9日現在の情報となります。