質問

Advanced Search

Alert ID : ALERT838

Last Modified : 10/10/2018

OpenSSL 1.0.1系の脆弱性対応に関して

Description

OpenSSL 1.0.1系の脆弱性対応に関して

2014411

合同会社シマンテック・ウェブサイトセキュリティ

 

お客様各位

 

拝啓

平素は弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

今週Codenomicon (http://heartbleed.com)により、OpenSSLのハートビート機能に関する脆弱性が発表されました。この脆弱性へのリスク軽減策を下記の通りご案内させていただきます。

シマンテック・ウェブサイトセキュリティでは引続きサービス改善に努めて参りますので、今後ともご愛顧賜りますようお願い申し上げます。

敬具

 

 

1.脆弱性の概要

  -OpenSSLは、広く使われるオープンソースの暗号ライブラリで、ApacheNginxといったウェブサーバやSSLを用いるその他のアプリケーションで広く使われています。

  -この脆弱性によって、対象サーバのメモリから、ウェブサーバの秘密鍵やセッション鍵、ウェブサイト利用者のパスワードや利用者名などの個人情報を含んだ重要な情報が流出する恐れがあります。

 

2.脆弱性の範囲

  -この脆弱性はSSL/TLS プロトコルや シマンテックに起因する問題ではありません。

  -SSL/TLSプロトコルが破られたわけでも、シマンテックから発行されたSSLサーバ証明書が危殆化したわけでもありません。

  -ウェブサーバやアプリケーションで利用中のOpenSSLのバージョンが1.0.1から1.0.1fの利用者が影響を受けるものです。

  -OpenSSLバージョン1.0.1g (201447日公開)では、当脆弱性への対策が行われています。

 

3.お客様のリスク軽減方法 (対応順)

  1.SSLサーバ証明書をご利用のお客様はOpenSSLのバージョンを確認し、以下のいずれかを行ってください。:

    -DOPENSSL_NO_HEARTBEATSオプションをつけてOpenSSLを再コンパイルする。

    -最新のバージョンであるOpenSSL 1.0.1hへアップグレードする。(2014年6月13日更新)

  2.SSLサーバ証明書を運用中のユーザは、該当するバージョンのOpenSSLを利用して新しいCSRを生成し、SSLサーバ証明書の再発行(Replace)か新規申請を実施し、入手したSSLサーバ証明書をインストールの上、現在ご利用中の証明書を失効(Revoke)してください。
     (シマンテックではディスティングイッシュネームが同じ場合は、再発行を無償で行うことができます。)

  3.これらのウェブサイトのエンドユーザはパスワードの変更が推奨されます。

  ※以下のページに記載のサイトで該当のOpenSSLバージョンを利用しているか否か確認が可能です。

  id=SO22875

  ※その他詳細は以下のFAQもご覧ください。

  https://www.jp.websecurity.symantec.com/heartbleed/

 

4.新しい証明書の再発行もしくは新規発行、古い証明書の破棄の際の注意点

  1.再発行の手順は以下のサイトを参考にしていただきますようお願いいたします。

  id=SO22888

  ※再発行の際は、CSRに含まれるディスティングイッシュネームが発行前のものと一致している必要があります。

  2.古い証明書の失効処理は、再発行直後ではなく、新しい証明書のインストールが完了してから行う必要があります。失効処理の手順は以下のサイトを参考にしていただきますようお願いいたします。

  id=SO25490

  ※ストアフロントの画面上で「失効」ボタンをクリックすることによる失効処理は行わないでください。

  User Portalでの失効処理操作ができない場合は、弊社サポートまでメールにてお問い合わせください。この場合、弊社から申請責任者に失効に関する電話確認をさせていただく場合がございます。

    送信先: auth_support_japan@digicert.com

    送信情報:

    ・リクエスト番号

    Organizational Name(組織名)

    Common Name(コモンネーム)

    ・依頼者会社名:

    ・依頼者氏名:

    ・失効理由:OpenSSL脆弱性対応

 

5.本件に関するお問合せ先

   合同会社シマンテック・ウェブサイトセキュリティ カスタマーサポート

   Email server_info_jp@digicert.com

   電話 : 03-5114-4135(音声ガイダンス後、2番を選択してください)

   (平日930分~1730分)

 

以上