質問

Advanced Search

Alert ID : ALERT871

Last Modified : 06/04/2018

Security Advisory - OpenSSL Severe Vulnerability Identified (CVE-2014-0224)

Description

何が起きているのか?
 

6月5日、OpenSSLのセキュリティチームは6つの新しい脆弱性に関して、セキュリティアドバイザリと修正パッチをリリースしました。この中の1つはCriticalな脆弱性(CVE-2014-0224)であり、攻撃者にクライアントとサーバ間のトラフィックの暗号を解読され、マン・イン・ザ・ミドル攻撃(MITM)を行われる恐れがあります。一方、この脆弱性(CVE-2014-0224)はHeartbleedの脆弱性に似ていると思われるかもしれませんが、攻撃者がクライアントとサーバ間に侵入する必要があるため、Heartbleedに比べて容易ではありません。Internet Explorer, FireFox, Safari and Chrome/などのデスクトップブラウザは、OpenSSLを利用しておりません。詳細な情報については、シマンテックのセキュリティレスポンスブログ(Security Response blog post)をご覧ください。

 

なぜ気にする必要があるのか?
 

この脆弱性(CVE-2014-0224)への攻撃を成功させるためには、クライアントとサーバ両方にOpenSSLの脆弱性が存在している必要があります。そのため、シマンテックは消費者やSSL/TLSに基づくセキュリティに対し、緊急性の高い危険性をもたらすものではないと考えています。一方、この脆弱性を活用した攻撃を回避するためには、サーバ側をOpenSSL version 1.0.1hにアップグレードすることを強く推奨します。クライアントとサーバに関する追加情報については、OpenSSL security advisory(英語リンク)で確認が出来ます。

 

重要なお知らせ
 

1. この脆弱性は、SSL/TLSプロトコルやシマンテックの脆弱性ではありません。

2. SSL/TLSプロトコルが破られたわけでも、シマンテックから発行されたSSLサーバ証明書が危殆化したわけでもございません。

3. OpenSSL 1.0.1系列のうち1.0.1gあるいはそれ以前のバージョンをサーバでお使いのユーザーが影響を受けます。また、OpenSSLクライアントは、全てのバージョンのOpenSSLで影響を受けます。

 

消費者向けの推奨事項
 

  1. 利用しているシステムの提供元に確認し、最新版にアップデートしてください。
  2. セキュリティで保護されていない無線LAN(WiFi)を利用しないでください。
  3. 定期的にシステムのパスワードを変更し、再使用しないようにしてください。

企業向けの推奨事項
 

Vulnerable versions of OpenSSL を参照し、以下の対策を行ってください。

 

  • OpenSSL 0.9.8 を利用している場合には、0.9.8zaにアップグレードしてください。
  • OpenSSL 1.0.0 を利用している場合には、1.0.0mにアップグレードしてください。
  • OpenSSL 1.0.1 を利用している場合には、1.0.1hにアップグレードしてください。

 

FAQ
 

Q: 私は脆弱性があるOpenSSLバージョンを使ってませんが、何かアクションを取る必要がありますか?
A: いいえ、特に追加アクションは必要ありません。

 

Q: もし、私が脆弱性があるOpenSSLバージョンを使っている場合、SSLサーバ証明書について何をすべきでしょうか?
A: あなたのSSLサーバ証明書には影響がありませんので、SSLサーバ証明書についてのアクションは不要です。ベストプラクティスとして、サーバやクライアントで稼働しているOpenSSLのバージョンをアップグレードすることを推奨します。クライアントとサーバに関する追加情報については、OpenSSL security advisory(英語リンク)で確認が出来ます。

  

Further Resources参照情報

SYMC security response blog  (シマンテックセキュリティレスポンスブログ)

http://www.symantec.com/connect/ja/blogs/openssl-patches-critical-vulnerabilities-two-months-after-heartbleed

OpenSSL security advisory  (OpenSSLアドバイザリ)(英語リンク)

http://www.openssl.org/news/secadv_20140605.txt