2016/03/07

OpenSSLの脆弱性について

平素は、GMOクラウドPublic、GMOクラウドALTUSをご愛顧いただき誠にありがとうございます。
2016年3月1日にOpenSSLにおける脆弱性(CVE-2016-0800)が公開されました。
影響を受ける脆弱性 (CVE-2016-0800) について、該当するバージョンの OpenSSL
を用いて、SSLv2 を利用可能としている場合に、暗号化された通信を解読される
可能性があります。

CentOS、CloudLinux、Ubuntuをご利用のお客さまは、対策済みのバージョンへ
アップデートのご対応をいただけますようお願いいたします。
Red Hat Enterprise Linuxをご利用のお客様はRed Hat社の情報をご確認頂き、
ご対応をいただけますようお願い致します。

【CentOS、Cloud Linuxの場合】

1. opensslのバージョンを確認する

# yum list installed | grep openssl

お客さまでアップデート等行われていない場合、下記バージョンとなります。

CentOS 5.9
0.9.8e-27.el5_10.4

CentOS 6.4
1.0.1e-16.el6_5.15

CentOS 7.1
1.0.1e-51.el7_2.2

2. yumキャッシュのクリアとopensslのアップデートを実行

# yum clean all

# yum -y update openssl

3. アップデート後のopensslのバージョンを確認する

# yum list installed | grep openssl

【Ubuntuの場合】

1. opensslのバージョンを確認する

$sudo dpkg -l | grep openssl

お客さまでアップデート等行われていない場合、下記バージョンとなります。

Ubuntu12.04
openssl 1.0.1-4ubuntu5.17

Ubuntu14.04
openssl 1.0.1f-1ubuntu2.16

2. ライブラリの更新ととopensslのアップデートを実行

$sudo aptitude update

$sudo aptitude upgrade openssl

3. アップデート後のopensslのバージョンを確認する

$sudo dpkg -l | grep openssl

以下になっていれば対策済みのバージョンがインストールされています。

CentOS5
openssl 0.9.8e-39.el5_11

CentOS6
openssl 1.0.1e-42.el6_7.4

CentOS7
openssl 1.0.1e-51.el7_2.4

Ubuntu 12.04
openssl 1.0.1-4ubuntu5.35

Ubuntu 14.04
openssl 1.0.1f-1ubuntu2.18

反映にはのOpenSSLを利用するサービスの再起動が必要となります。
できるだけ早目が望ましいですが、お客さま任意のタイミングでのサーバ再起動を
実施いただけますようお願いいたします

参考情報

JVN
https://jvn.jp/vu/JVNVU90617353/


ニュース一覧

今すぐクラウドVPS byGMOを試してみる