お客様 各位
平素より、弊社サービスPitservレンタルサーバ・サービスをご利用いただき、誠にありがとうございます。
2016年09月28日にTLSやSSLを利用するためのライブラリ「OpenSSL」に新たに14件の脆弱性が発見されましたのでご案内致します。
▼JPCERTコーディネーションセンター
OpenSSL の脆弱性に関する注意喚起
https://jvn.jp/vu/JVNVU98667810/
■概要
各脆弱性の詳細は下記をご確認ください。
○CVE-2016-6304
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004990.html
○CVE-2016-6305
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004991.html
○CVE-2016-2183
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004511.html
○CVE-2016-6303
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004782.html
○CVE-2016-6302
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004781.html
○CVE-2016-2182
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004780.html
○CVE-2016-2180
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004110.html
○CVE-2016-2177
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-003304.html
○CVE-2016-2178
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-003305.html
○CVE-2016-2179
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004778.html
○CVE-2016-2181
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004779.html
○CVE-2016-6306
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004992.html
○CVE-2016-6307
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004993.html
○CVE-2016-6308
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004994.html
※OpenSSLとは
インターネット上で情報を暗号化し、
送受信できるプロトコル(SSL)であり、
その通信を行うアプリケーションです。
■対象バージョン
以下のバージョンが脆弱性の影響を受けます。
OpenSSL1.1.0系列のうち 1.1.0a より前のバージョン
OpenSSL1.0.2系列のうち 1.0.2i より前のバージョン
OpenSSL1.0.1系列のうち 1.0.1u より前のバージョン
■脆弱性の影響
想定される影響は各脆弱性により異なりますが、
サービス運用妨害 (DoS) 攻撃を受けるなどの可能性があります。
■対策内容
本事象に該当しているOpenSSLのバージョンのサーバは、
対策済みのバージョンへアップデートを実施致します。
■対策実施期間
2016年10月5日(水)~10月31日(月)
本日時点でCentOSより
「CVE-2016-6305」「CVE-2016-6303」「CVE-2016-6307」「CVE-2016-6308」以外の
脆弱性対策済みバージョンがリリースされております。
重要度の高い脆弱性もございます為、
上記4件以外の対策済みバージョンへアップデート致しますが
上記4件に対策済みのバージョンがリリースされ次第、
アップデート作業を実施致します。
■アップデート作業によるサービス影響
HTTPサービスの再起動を実施致します為、
瞬断が発生致します。
作業が完了致しましたら、改めてご報告致します。
何卒、宜しくお願い申し上げます。
