CentOS6におけるopensslについて重大な脆弱性が確認されました。

この脆弱性を突かれると、SSL証明書について重要な情報が含まれる可能性のある最大で64KBのメモリ情報が読み取られる恐れがあり、対象となるお客様は、早急なセキュリティ対策を推奨いたします。

■対象:

・LinuxVPSサーバーで、CentOS6をご利用のお客様
・マネージドクラウド、または使えるクラウドで、CentOS6をご利用のお客様

※ご注意※

・2011年2月より販売のFX用VPSプランをご利用のお客様は、特に対応の必要はございません。

・共有サーバープランをご利用のお客様は、特に対応の必要はございません。

■対策:

1. ご契約サーバーにSSHでログインし、下記コマンドでOSを調べます。CentOS6の場合は引き続き、(2)へお進みください。CentOS5など6以外の場合は、対象外ですので、対策は不要となります。

#cat /etc/system-release
CentOS release 6.5 (Final)

2. opensslのパッケージのバージョンを調べます。

# rpm -qi openssl


■NGの場合

Name        : openssl
Relocations: (not relocatable)
Version     : 1.0.1e
Vendor: CentOS
Release     : 16.el6_5.4
uild Date: Thu 09 Jan 2014 03:44:56 AM JST

3. opensslのパッケージを対策済のバージョン(openssl-1.0.1e-16.el6_5.7.x86_64.rpm)へyum等でアップデートしてください。お客様にて対応が難しい場合は、有料スポットサポートでお承りしておりますので、使えるねっと サポートセンター へご相談ください。

■関連情報:

https://www.openssl.org/news/secadv_20140407.txt
https://access.redhat.com/security/cve/CVE-2014-0160
http://heartbleed.com/