お知らせ

OpenSSLのChangeCipherSpecメッセージに含まれる 脆弱性に関するお知らせ

  重要

平素はEINS/PKI+に格別のご高配を賜り、厚く御礼申し上げます。

このたびOpenSSLに重大な脆弱性が発見されましたので、お知らせいたします。以下の内容をご確認いただき、対策を実施ください。

内容

OpenSSL※1のChangeCipherSpecメッセージの処理に欠陥が発見されました。 該当するOpenSSLのバージョンでご利用されている場合(TLS/SSLのサーバーとクライアントの両方がこの脆弱性を内包している時)、通信経路上の攻撃が可能になります。

※1・・・OpenSSL:開発したソフトウェアにSSL/TLSによる暗号通信機能を組み込む為のフリーのプログラム

該当バージョン

サーバー側 1.0.1~1.0.1g、1.0.2-beta1
クライアント側 0.9.8y以前のバージョン、1.0.0~1.0.0l、1.0.1~1.0.1g、 1.0.2-beta1

影響

この脆弱性が悪用された場合、暗号通信の内容が解読され、情報漏えいする可能性がございます。

※このたびの脆弱性による影響は暗号文を解読される恐れがあるというものであり、サーバー証明書、
秘密鍵に直接影響するものではございません。SSL/TLSで保護された通信経路上で秘密鍵を転送したことがなければ、サーバー証明書の再発行は不要です。

対策

OpenSSLのバージョンを以下の方法にて確認いただき、該当するバージョンをご使用されている場合は、以下の対応をお願いいたします。


【バージョンの確認方法】

OpenSSLがインストールされたサーバー機にて、次のコマンドを実行してください。

#openssl version


サーバー側
※対応は呼び出しているOpenSSLのバージョンにより異なります。
1.0.1系 1.0.1hにアップグレード
1.0.2系 アップグレードができません。1.0.1h、1.0.0m、0.9.8zaのいずれかにダウングレード、またはパッチが公開されましたらパッチを適用ください。
※0系(0.9.8系やそれ以前) の場合1.0.0系の場合、対応は不要です。
クライアント側
※対応は呼び出しているOpenSSLのバージョンにより異なります。
0.9.7系や
それ以前の場合
0.9.8za、1.0.0m、1.0.1hへアップグレード
0.9.8系 0.9.8zaへアップグレード
1.0.0系 1.0.0mへアップグレード
1.0.1系 1.0.1hへアップグレード
1.0.2系 アップグレードができません。1.0.1h、1.0.0m、0.9.8zaのいずれかにダウングレードまたはパッチが公開されましたら、パッチを適用ください。

本件に関する詳細と対策等のサイト

本件に関する詳細と対策等のサイト
情報処理推進機(IPA)
セキュリティ研究機関である(株)レピダムのホームページ

お問い合わせ窓口

本件に関してご不明な点等ございましたら、下記窓口までお問合せください。
お問合せにつきましては、電子メール・電話にて承ります。

株式会社インテック ネットワークソリューション部
E-mail Address :einspki_support@intec.co.jp
TEL : 050-5828-7035
(平日 <土・日、祝祭日以外> 9:00~17:00)