質問

Advanced Search

Alert ID : ALERT1854

Last Modified : 10/10/2018

OpenSSLの新たな脆弱性について

INFORMATION

Description

2015年 7月10日

お客様各位

合同会社シマンテック・ウェブサイトセキュリティ

 

OpenSSLの新たな脆弱性について



 平素より弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

 OpenSSLプロジェクトのセキュリティアドバイザリにおきまして新たな脆弱性が報告されたましたので、影響範囲ならびに推奨されるアクションを、下記の通りご案内申し上げます。

 この脆弱性はSSLサーバ証明書の再発行を必要とする問題ではございませんが、OpenSSLモジュール(以下、OpenSSL)をご利用中のお客様におかれましては、対象のバージョンをご確認の上、該当する場合にはバージョンアップを行っていただくことを推奨いたします。

 シマンテックでは引続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますようお願い申し上げます。

 

1. 脆弱性の概要


  2015年7月9日付けのOpenSSLプロジェクトのセキュリティアドバイザリにて新しい1件の「重要度:高」に該当する脆弱性(CVE-2015-1793)ならびに修正パッチが公開されました。
  この脆弱性ではSSLクライアント認証を行うSSL/TLSサーバにおいて、不正なクライアント証明書を「信頼できる」証明書と誤認する恐れが指摘されており、不正なログインなどに悪用される恐れがあります。

  なお、この脆弱性はOpenSSLに起因するものであり、SSL/TLS プロトコルや、シマンテックのSSLサーバ証明書に起因する問題ではございません。

 

2. 脆弱性の対象


  OpenSSLプロジェクトのセキュリティアドバイザリによると、上記の脆弱性の対象は以下のバージョンのOpenSSLです。

  •   1.0.2c
  •   1.0.2b
  •   1.0.1n
  •   1.0.1o


 ご利用中のOpenSSLのバージョンは、以下のコマンドを実行することで確認 いただけます。

 # openssl version

 ※ 弊社にて確認させていただくことができません。確認方法、アップデート方法の詳細はご利用のウェブサーバのベンダ様へご確認ください。

 

3. 脆弱性への対処


  ご利用中のOpenSSLが脆弱性の対象に該当する場合、OpenSSLプロジェクトが提供する以下の最新のバージョンへアップグレードしていただくことを推奨いたします。

  •   1.0.2d
  •   1.0.1p

 
 ※ 秘密鍵の漏えいに繋がる脆弱性ではないため、証明書の再発行を行っていただく必要はございません。

 ※ 以下のナレッジベースも併せてご覧ください。
  id=ALERT1852

 

4. その他関連情報


  シマンテック セキュリティブログ(英語):
  http://www.symantec.com/connect/blogs/critical-openssl-vulnerability-could-allow-attackers-intercept-secure-communications

  OpenSSLプロジェクト(英語):
  https://www.openssl.org/news/secadv_20150709.txt

 

5. 本件に関するお問合せ先


合同会社シマンテック・ウェブサイトセキュリティ テクニカルサポート
Email : server_info_jp@digicert.com
電話 : 03-5114-4135(音声ガイダンス後、2番を選択してください)
  (平日9時30分~17時30分、ただし祝祭日および年末年始を除く)
                                                                 

以上


----------------------------------------------------------------------
発行 : 合同会社シマンテック・ウェブサイトセキュリティ
----------------------------------------------------------------------