(重要) OpenSSL の脆弱性対策について

サーバーソフト 制御機器 脆弱性

オープンソースの暗号通信ライブラリである OpenSSL に、情報漏えいの脆弱性が発見されました。
この脆弱性を悪用された場合、本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。


【影響を受けるシステム】

以下のバージョンが本脆弱性の影響を受けます。

  • OpenSSL 1.0.1 から 1.0.1f
  • OpenSSL 1.0.2-beta から 1.0.2-beta1

【想定される影響】

一般利用者が知らないうちに、攻撃者はこの脆弱性を悪用してサーバのデータを窃取できます。その結果、たとえば以下のことが起こり得ます。

  • 利用者が攻撃者になりすまされる可能性があります(攻撃者が利用者の ID やパスワードを窃取した場合)
  • 攻撃者に暗号通信を解読される恐れがあります(攻撃者が秘密鍵を窃取した場合)

【対策方法】

「脆弱性の解消」

The OpenSSL Project または OS ベンダ等から提供されているアップデート、修正プログラム、パッチ等を適用してください。詳しくは、各ベンダへ確認ください。

 

「証明書の再設定」

ウェブサイトで OpenSSL を利用している場合、秘密鍵が既に漏えいしている可能性があります。ウェブサイト運営者は脆弱性の解消後、これまで利用していた証明書を失効させ、新しい秘密鍵を用いて証明書を再取得・再設定してください。証明書の失効・再発行等の手続きは、各認証局へ確認ください。