OpenSSL CCS Injection の脆弱性 (CVE-2014-0224) の影響と対処

RSS配信記事

[本ドキュメントの対象となる製品]

Asianux Server 3 for x86 (32bit)

Asianux Server 3 for x86_64 (64bit)

Asianux Server 4 for x86 (32bit)

Asianux Server 4 for x86_64 (64bit)

[概要]

OpenSSL に重大な脆弱性が発見されました。

該当するバージョンを使用している場合、攻撃者により情報が漏洩する恐れがあります。下記 [影響の有無の確認方法] を行い、影響のある OpenSSL を使用している場合は、ただちに本ドキュメントの [解決方法] を行ってください。

[詳細]

OpenSSL の CCS (Change Cipher Spec) Injection の脆弱性 (CVE-2014-0224) に関する問題となります。サーバとクライアントの間の SSL 通信が中間者攻撃 (man-in-the-middle attack) によって解読されたり、改ざんされたりする可能性があります。

OpenSSL のサーバ側、クライアント側ともに脆弱性のあるバージョンの OpenSSL を使用している場合のみ本脆弱性の影響があります。

[影響の有無の確認方法]

下記手順にて、OS とサーバ側、クライアント側の OpenSSL パッケージのバージョンを確認し、【対応表】にて影響の有無を確認してください。

1. OS のバージョンを確認してください。

# cat /etc/asianux-release

Asianux Server 4 (Hiranya SP3)

2. rpm コマンドで openssl パッケージのバージョンを確認してください。

# rpm -q openssl

openssl-1.0.1e-16.AXS4.7.x86_64

【対応表】

サーバ側 / クライアント側	OS	OpenSSL のバージョン	本脆弱性の影響
サーバ側	Asianux Server 3	openssl-0.9.8e-27.AXS3.3 未満のすべてのバージョン (openssl0.9.7a を含む)	なし
	Asianux Server 4	openssl-1.0.1e-16.AXS4.4 以上 openssl-1.0.1e-16.AXS4.14 未満のバージョン	あり
		openssl-1.0.1-27.AXS4.2 以下 (openssl-1.0.0、openssl-0.9.8e を含む)	なし
クライアント側	Asianux Server 3	openssl-0.9.8e-27.AXS3.3 未満のすべてのバージョン (openssl0.9.7a を含む)	あり
	Asianux Server 4	openssl-1.0.1e-16.AXS4.14 未満のすべてのバージョン (openssl-1.0.0、openssl-0.9.8e を含む)	あり