ご利用ガイド OpenSSLに含まれる脆弱性に関するご注意（CCS Injection）

OpenSSLに含まれる脆弱性に関するご注意（CCS Injection）

すでにセキュリティ対策機関などから注意喚起の情報が出されていますが、「OpenSSL」（暗号化ライブラリ）に情報の秘匿性を破られる弱点のあることが明らかになっています。 これは 今年4月に報道された脆弱性 とは異なるもので、「CCS Injecttion」と呼ばれています。

[OpenSSL脆弱性情報の詳細]

　「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について

※ConoHa の標準プランの標準OSである CentOS 6.5(64bit) では、この脆弱性は対処済です。

以下の条件に当てはまるバージョンのOpenSSLをご利用のお客さまのサーバーは、HTTPS/SSHなどの通信について悪用された場合に暗号通信の内容が漏えいする可能性があります。

[OpenSSLの脆弱性が確認されたバージョン]

　・ 1.0.1 ～ 1.0.1g

　・ 1.0.0 ～ 1.0.0l

　・ 0.9.8y以下

OpenSSLのバージョンは以下のコマンドで確認できます。

$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

該当するバージョンをお使いの場合、以下のように最新のOpenSSLにアップデートしてください（ConoHa の標準OS：CentOSの例）。

# yum -y update openssl

[以下のバージョンは本脆弱性の対象にはなりません。]

　・ 1.0.1h

　・ 1.0.0m

　・ 0.9.8za

お客さまには上記情報をご参考のうえご対応いただきますよう、よろしくお願い申し上げます。