OpenSSL脆弱性の注意喚起と対応のお願い

株式会社NTTPCコミュニケーションズ
2014年4月9日
VPS/クラウド

平素はWebARENAホスティングサービスをご利用くださり誠にありがとうございます。

オープンソースの暗号通信ライブラリである OpenSSL 1.0.1-1.0.1f(及びOpenSSL1.0.2-beta1) に、情報漏えいの脆弱性が発見されたと報告を受けています。
対象のお客さまは、下記の脆弱性の確認方法と修正方法をご参照のうえ、必要に応じて対策をご実施くださいますようお願い申し上げます。

■対象のサービス
次のサービスをご利用のお客さま
・WebARENA Solo/専用サーバー
・WebARENA SuitePRO/VPSハイスペック
・WebARENA VPSクラウド

■対象のソフトウェアバージョン
次のOpenSSLのバージョンをご利用のお客さま
・OpenSSL 1.0.1 から 1.0.1f
・OpenSSL 1.0.2-beta から 1.0.2-beta1

■脆弱性の種類
情報漏えいの脆弱性。
この脆弱性を悪用された場合、本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。



■脆弱性の確認方法と修正方法

<WebARENA Solo/専用サーバーをご利用のお客さま>

1. rpmコマンド等を利用し、opensslのバージョンが対象となっているか確認してください。
 例: rpm -qa|grep openssl

2. Solo/専用サーバー(対象はRHEL v.6、CentOS 6、CentOS 6+Plesk10)では、
 パッケージの自動アップデートをONにしてある場合は自動でパッチ適用されます。
 (ご利用開始時は、自動アップデートはONの状態となっています。)
 ご利用開始後に自動アップデートをOFFに変更された場合は、ONに設定を変更されるか、
 もしくは手動でのパッチ適用を実施してください。

3. 脆弱性のあるOpenSSLのバージョンでSSLサーバー証明書を利用している場合、
 OpenSSLのバージョンアップ後、秘密鍵を作り直し、SSLサーバー証明書の再発行をしてください。
 SSLサーバー証明書の再発行の方法については、発行元のCAにお問い合わせください。

<WebARENA SuitePRO/VPSハイスペック/VPSクラウドをご利用のお客さま>

1. rpmコマンド等を利用し、opensslのバージョンが対象となっているか確認してください。
 例: rpm -qa|grep openssl

2. SuitePRO V1/V2/V3、VPSクラウドでは自動アップデートをONにしてある場
 合は自動で最新バージョンに更新されます。自動アップデートをOFFにし
 ていて、お客さまで該当バージョンのOpenSSLへ変更されている場合には、バー
 ジョンアップ等の対処をお願いいたします。
 ※SuitePRO V1/V2にて提供しているFedora Core3 および CenteOS4につきましては、
  サポートが終了しております。
  アップデートをされる場合、お客さまにてリポジトリの追加やrpmパッケージを取得するなど
  更新を行う必要がございます。

3. 脆弱性のあるOpenSSLのバージョンでSSLサーバー証明書を利用している場合、
 OpenSSLのバージョンアップ後、秘密鍵を作り直し、SSLサーバー証明書の再発行をしてください。
 SSLサーバー証明書の再発行の方法については、発行元のCAにお問い合わせください。

■参考情報
 OpenSSL Security Advisory [07 Apr 2014]
 https://www.openssl.org/news/secadv_20140407.txt
 Vulnerability Note VU#720951
 https://www.kb.cert.org/vuls/id/720951
 JVNVU#94401838
 https://jvn.jp/vu/JVNVU94401838/index.html
 JVNDB-2014-001920
 http://jvndb.jvn.jp/jvndb/JVNDB-2014-001920
 Red Hat
 https://rhn.redhat.com/errata/RHSA-2014-0376.html

本件に関するお問い合わせ先

■WebARENA Solo/専用サーバー
 テクニカルサポートセンター

お問い合せフォームが利用できない場合は、電子メールでお問い合わせください。
solo-tec@arena.ne.jp

■WebARENA SuitePRO/VPSハイスペック
 テクニカルサポートセンター

お問い合せフォームが利用できない場合は、電子メールでお問い合わせください。
suitepro-tec@arena.ne.jp

■WebARENA VPSクラウド
 テクニカルサポートセンター

お問い合せフォームが利用できない場合は、電子メールでお問い合わせください。
vpscloud-tec@arena.ne.jp
お問い合せフォーム、電子メールは24時間受け付けておりますが、回答は、土日祝日・年末年始を除く9:30~18:00となります。
また、届いた順番にお答えしておりますので、回答までに時間がかかる場合があります。ご了承ください。