CVE-2014-0160:OpenSSL 1.0.1 のセキュリティ脆弱性

Created:

2016-11-16 13:05:06 UTC

Modified:

2017-08-16 17:29:31 UTC

1

Was this article helpful?


Have more questions?

リクエストを送信

CVE-2014-0160:OpenSSL 1.0.1 のセキュリティ脆弱性

Applicable to:

  • Web Presence Builder 11.5
  • Plesk for Linux/Unix

情報

2014 年 4 月 7 日、OpenSSL グループが脆弱性アラートを発信しました。この脆弱性 CVE-2014-0160 についての詳細は、Open SSL のウェブサイトおよび http://heartbleed.com/ にてご確認ください。

この脆弱性は、システム内の OpenSSL に依存するほとんどのサービス(特に Apache ベースのもの)や、以下のいずれかのディストリビューションを使用して作成されたシステムに影響を与えます。

  • Debian Wheezy(stable)(脆弱性のあるバージョン OpenSSL 1.0.1e-2+deb7u4 、修正済みバージョン OpenSSL 1.0.1e-2+deb7u5 )
  • Ubuntu 12.04.4 LTS(脆弱性のあるバージョン OpenSSL 1.0.1-4ubuntu5.11 、修正済みバージョン OpenSSL 1.0.1-4ubuntu5.12 )

    お使いの Debian/Ubuntu パッケージのバージョンは、以下のコマンドを使用して確認できます。

    ~# dpkg -l openssl
  • RedHat、CentOS、CloudLinux 6.5(脆弱性のあるバージョン OpenSSL 1.0.1e-16.el6_5.4 、修正済みバージョン OpenSSL 1.0.1e-16.el6_5.7 )
  • OpenSUSE 12.2(脆弱性のあるバージョン OpenSSL 1.0.1c 、修正済みバージョン OpenSSL 1.0.1e-1.44.1 )
  • OpenSUSE 13.1(修正済みバージョン OpenSSL 1.0.1e-11.32.1 )

    お使いの Redhat/CentOS および OpenSUSE パッケージのバージョンは、以下のコマンドを使用して確認できます。

    ~# rpm -q openssl

OpenSSL 0.97a および 0.98e(RedHat/CentOS 5)にはこの脆弱性がありません。 RHSA-2014-0376 によると、脆弱性のある OpenSSL が含まれるのは RedHat 6.5 のみです。

  • RedHat/CentOS/CloudLinux 5.x で、Parallels Plesk には更新済み OpenSSL ライブラリ(0.98y)がコンパイルされた Apache/SNI および Nginx のカスタムビルドが付属しています。これらは脆弱ではありません。

Debian Security Advisory DSA-2896 によると、Debian Squeeze に脆弱性はありません。

Plesk は、OpenSSL の更新バージョンが含まれる Ubuntu 13.10 および 12.10 をサポートしていません。Ubuntu Security Notice USN-2165-1 によると、他のサポート対象 Ubuntu リリースには脆弱性がありません。

OpenSUSE の修正版は、OpenSUSE Security Announcement openSUSE-SU-2014:0492-1 にて公開されています。

解決策

OS ベンダーが修正を発行しており、すべてのディストリビューションに組み込まれています。お使いの OS の更新手順に従って、OpenSSL アップデートをインストールする必要があります。

例えば CentOS 6、RHEL6、および CloudLinux 6 の場合、次のコマンドを使用します。

~# yum clean all; yum update

OpenSSL アップデートをインストールした後で、OS を再起動することをお勧めします。

何らかの理由で再起動が望ましくない場合、OpenSSL に依存するすべてのサービスを再起動してください。

  • ウェブサーバ(Apache または NGINX)
  • Plesk psa サービス:

    ~# service psa restart
  • WPB sw-engine サービス:

    ~#/etc/init.d/sw-engine restart
  • メール(IMAP/POP3/SMPT サービス、例えば Qmail/CourierIMAP/Postfix/Sendmail)
  • データベース(MySQL/PostgreSQL)
  • SSL および認証に依存する他のすべてのサービス。あるサービスが SSL に依存しているかどうかわからない場合は、再起動することをお勧めします。

パスワード変更

更新完了後、管理スタッフのパスワードを変更することを強く推奨します。

SSL 証明書の取り消し

SSL 証明書を取り消し、再発行することを、すべてのお客様にお勧めします。SSL 証明書の取り消しおよび再インストールの手順に関する説明は、本記事の対象外となります。

追加チェック

更新後に、SSLLabs サービスを使用して、サーバのパブリック HTTPS エンドポイントをすべてチェックしてください。 https://www.ssllabs.com/ssltest/

このテストの実行結果に、次のような行が含まれているべきです。 This server is not vulnerable to the Heartbleed attack . (Experimental) ("このサーバには Heartbleed 攻撃に対する脆弱性がありません")

以下も参照してください。

  • KB #121016 - 全 Parallels 製品についての統括記事
他にご質問がございましたら、リクエストを送信してください
ログインしてコメントを残してください。