質問

Advanced Search

Alert ID : ALERT788

Last Modified : 06/04/2018

「Debian GNU/Linux に含まれる OpenSSL/OpenSSH の脆弱性」について

Description

2008年5月20日
更新日:2008年5月28日

お客様各位

2008年5月16日に、JPCERT コーディネーションセンターより発表されました、 Debian GNU/Linux・Ubuntuに含まれるOpenSSL/OpenSSHの脆弱性に関する注意喚起につきまして、日本ベリサインとしての対応をご案内 させていただきます。

JPCERTの発表によると(http://www.jpcert.or.jp/at/2008/at080008.txt)、 Debian GNU/Linux、Ubuntu などのディストリビューションに含まれるOpenSSLのパッケージに、推測可能な乱数を生成する問題が発見されました。この問題により第三者により暗号化された通信を復号されるなどのリスクがあります。
該当プラットフォーム上で作成された鍵ペアを利用してSSLサーバ証明書を申請・発行されているお客様は、お客様のウェブサイトを脆弱性から守るため、速 やかにディストリビューター提供のパッチプログラム適用し、弊社からご案内の手順に従って、再発行の手続きを実施願います。
日本ベリサインでは、2008年 6月 30日までに再発行を申請いただいたお客様には、ベリサイン サーバIDの再発行に利用可能なサービスクーポンを提供させて頂きます。尚、ベリサインのWebページやストアフロントなどのサービスプラットフォーム、 ベリサインのルート証明書および中間証明書においては、この脆弱性による問題はございません。

  1. 対象プラットフォーム(サーバタイプ)

    対象となるプラットフォーム(サーバタイプ)は、以下の2005年9月17日から2008年5月12日の間にリリースされたDebian OS、またはDebian派生OS(Ubuntu等)です。

    • Debian GNU/Linux 4.0 (etch) 、及び派生バージョン
      • Ubuntu 7.04 (Feisty)
      • Ubuntu 7.10 (Gutsy)
      • Ubuntu 8.04 LTS (Hardy)

    上記以外のDebian ベースのディストリビューションも影響を受けている可能性があります。詳しくは各ディストリビューターが提供する情報をご確認ください。

  2. 対応方法
    1. 2-1 ご利用のプラットフォーム(サーバタイプ)の確認

      現在ご利用のSSLサーバ証明書の鍵ペアを作成されたプラットフォームが、上記対象の製品とバージョンに該当するか、ご確認ください。対象製品・バージョンの場合のみ、次の対応を実施願います。

    2. 2-2 パッチプログラムの適用

      各ディストリビューターが提供する情報に従い、OpenSSL パッケージを最新のバージョンに更新して適用してください。
      例:Debian.orgのWebサイト
      http://www.debian.org/security/2008/dsa-1571

      • OpenSSLパッケージのアップデートについてのご質問は、各ディストリビューターへご確認ください。弊社ではお答え致しかねますので、ご了承ください。
    3. 2-3 弊社サポート窓口およびパートナー様へのお問い合わせ
      • 必ず2-2.の手順後に実施してください。
      • ベリサインパートナー様経由でご購入のお客様は、パートナー様にご相談ください。

      日本ベリサインでは、お客様のウェブサイトを脆弱性から守るため、該当プラットフォームへのパッチを適用されたお客様に対して、お値引きした金額で再取得していただけるようサポート致します。

      2-2. の手順によりパッチプログラム適用後の状態でCSRを再生成した後に、弊社カスタマーサービスへご連絡ください。カスタマーサービスから発行されるクーポンを利用し、ストアフロント上から「新規申請」手続きを実施願います。

      必ず新しい鍵ペアによるCSRを利用して、申請を行ってくださいますようご注意ください。

      証明書の有効期間が30日以上ある場合、同一のディスティングイッシュネームでの申請ができません。その場合は、部門名(Organizational Unit)を変更いただいた上で、CSRを作成願います。

    お問合せ窓口

    ベリサイン カスタマーサービス

    メールお問合せ: server-info@verisign.co.jp

    044-520-7210
    サポート時間:9:30-17:30 (土日祝日を除く)

    • サービスクーポン発行対応期限

      2008年 6月 30日(月)

  3. その他

 

日本ベリサイン株式会社