「OpenSSL」において、初期 SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に脆弱性が発見されました。
本来、SSL/TLS による暗号通信では、利用者とウェブサイトの通信経路上に攻撃者が割り込み、通信内容を盗聴したり改ざんしようとする攻撃(中間者攻撃)を防ぐことができます。
しかし、この脆弱性を悪用されると、中間者攻撃を防ぐことができず、暗号通信の内容が漏えいしたり、改ざんされたりする可能性があります。
「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について(JVN#61247051):IPA 独立行政法人 情報処理推進機構
OpenSSL に新たに脆弱性が見つかりました。この脆弱性の影響を受けるのは、以下の環境です。
サーバ側:
- OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前
クライアント側:
- OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前
- OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前
- OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前
AWS の Amazon Linux では、すでにこの脆弱性に対応した openssl パッケージ( openssl-1.0.1g-1.70.amzn1 )が yum を通じてアップデートできるようになっています。
OpenSSL Security Advisory
Amimoto AMI で運用中のサーバで、この脆弱性に対応するには sudo yum update openssl
で openssl をアップデートしてください。
なお、アップデートされる oepnssl のバージョンは 1.0.1g-1.70 となっていますが、これはパッチ適用済みなので安心してお使いください。
rpm -q openssl
でパッケージ番号を確認し、1.0.1g-1.70 になっていれば、問題ありません。
詳しいアップデートの仕方、パッケージ番号の確認方法等は、「CVE-2014-0160 OpenSSL Heartbleed 脆弱性 について」を参考にしてください。