重要なお知らせ
2015.03.20
OpenSSLのセキュリティアップデートについてのご案内
お客様各位
平素は、KingSSLをご愛顧いただき誠にありがとうございます。
OpenSSLのセキュリティアップデートについてのご案内致します。
2015年3月19日、OpenSSLの新バージョン が公開されました。セキュリティアドバイザリーによると、脆弱性の修正は14項目にわたり、危険度「高」が2つ、危険度「中」が9つ、危険度「低」が3つとのことです。
※当件は、ご利用のサーバ証明書に影響はございません。証明書の再発行や失効、再設定等の対応は不要になります。
【危険度「高」について】
- 1)CVE-2015-0291 – "ClientHello sigalgs DoS".
当脆弱性は、OpenSSL 1.0.2のみが対象で、この脆弱性を突かれるとDoS攻撃を仕掛けられる可能性があります。 当脆弱性は、OpenSSL1.0.2をご利用中のお客様に影響があります。1.0.2aにアップデートをしてください。加えて、ソフトウェアベンダーとともに最新のセキュリティアドバイザリーと利用可能なアップデートをご確認ください。 - 2) CVE-2015-0204 – "RSA silently downgrades to EXPORT_RSA".
当脆弱性は、2015年2月にすでに危険度「低」として公表されている「FREAK」と呼ばれる脆弱性が危険度「高」に昇格したものです。この変更の理由は、最新の研究結果によると影響を受ける範囲が当初の想定よりも広かったためとのことです。
【対処方法】
当脆弱性は、OpenSSLのバージョン1.0.1, 1.0.0, 0.9.8に影響があります。
該当のバージョンをご利用の方は、以下のようにアップデートをしてください。
- OpenSSL 1.0.1 ⇒ 1.0.1kにアップグレード
- OpenSSL 1.0.0 ⇒ 1.0.0pにアップグレード
- OpenSSL 0.9.8 ⇒ 0.9.8zdにアップグレード
【その他】
ソフトウェアベンダーとともに最新のセキュリティアドバイザリーと利用可能なアップデートをご確認ください。
【参考 】
