Security Advisory - 脆弱性:OpenSSL Heartbleed Bug (CVE-2014-0160/CVE-2014-0346) について

Alerts ID:    ALERT835    Updated:    06/12/2014

Description

2014年4月7日、セキュリティ研究者チームはOpenSSL暗号ソフトウェアライブラリにおける深刻な脆弱性「HeartbleedBug」を発見したことを発表しました。

この脆弱性は、悪意を持った第三者(攻撃者)がOpenSSLソフトウェアの脆弱なバージョンで保護されたシステムメモリー上にある大量のデータを読み取り、暴露することを可能にします。

サーバのシステムメモリーには機密性の高いデータが置かれていることが多く、通信データの暗号化・複号に利用される秘密鍵が漏えいすれば、攻撃者によりクライアントから暗号化されて送信されたユーザ名やパスワードなどの情報が盗まれるリスクが高まります。

 

【証明書をご利用のお客様】

・OpenSSLのバージョンを確認し、OpenSSL1.0.1から1.0.1fのバージョンを利用している場合には以下いずれかの対処を行ってください。

  (1) DOPENSSL_NO_HEARTBEATSオプションをつけてOpenSSLを再コンパイルする。

  (2) 最新のバージョンであるOpenSSL 1.0.1hへアップグレードする。(2014年6月13日更新)

・その後、新しいCSRを生成してSSLサーバ証明書の再発行(Replace)または新規申請を実施し、新しいSSLサーバ証明書をインストールの上、現在ご利用中の証明書を失効(Revoke)してください。  
※シマンテックではディスティングイッシュネームが同じ場合は、無償で再発行を行うことが可能です。

・すでにシステムメモリー上の情報が漏えいしている場合を想定し、エンドユーザのパスワードの変更を推奨いたます。

 

【ウェブサイトの利用者様】

・該当するウェブサイトと通信を行った場合、データが第三者に見えていた恐れがあります。

・利用するウェブサイトやベンダーから連絡に従い、必要な場合にはパスワードの変更などの対策を行ってください。

・攻撃者からのフィッシングメール、偽装サイトへのアクセスなどに十分注意し、ウェブサイトへアクセスする際には正しいドメインであることを確認してください。

 

1. OpenSSLやApacheを利用していません。何か対応は必要ですか?

この脆弱性の影響はSSL/TLS通信のためにOpenSSLを利用している場合に限られます。該当するOpenSSLのバージョンを利用していない場合には、特別な対応は不要です。

 

2. 対象のバージョンと影響範囲

HeartbleedBugは、OpenSSLのSSL/TLSハンドシェイクの処理方法に関連しているため、SSLハンドシェイク中にOpenSSLライブラリを使用したサーバのみが影響を受けます。

OpenSSL以外のサーバソフトウェアには影響しません。

 ・OpenSSL 1.0.1 から1.0.1f は、本脆弱性の対象です。

 ・OpenSSL 1.0.1g、1.0.0グループ、0.9.8グループは、本脆弱性の対象ではありません。

 

3. コードサイニング証明書やセキュアメールIDはこの脆弱性の対象ですか?

対象ではありません。今回の脆弱性の対象はSSLサーバ証明書(サーバID)のみです。

 

4. Heartbleed bug はSSL/TLプロトコルのデザイン上の欠陥ですか?

いいえ。この脆弱性はOpenSSLライブラリのプログラミングのミスによるものであり、 SSL/TLプロトコルのデザイン上の欠陥ではありません。

また、シマンテックの証明書の問題でもありません。

 

5. 該当するかどうか確認したいのですが

以下KBに記載のチェックサイトで該当のバージョンを利用しているか否かの確認が可能です。

SO22875 インストールした証明書の確認方法

 

6. 対処方法を教えてください

・OpenSSLのバージョンを確認し、OpenSSL1.0.1から1.0.1fのバージョンを利用している場合には以下いずれかの対処を行ってください。

  (1) DOPENSSL_NO_HEARTBEATSオプションをつけてOpenSSLを再コンパイルする。

  (2) 最新のバージョンであるOpenSSL 1.0.1hへアップグレードする。(2014年6月13日更新)

・その後、新しいCSRを生成してサーバIDの再発行(Replace)または新規申請を実施し、新しいサーバIDをインストールの上、現在ご利用中の証明書を失効(Revoke)してください。  
※シマンテックではディスティングイッシュネームが同じ場合は、無償で再発行を行うことが可能です。

・すでにシステムメモリー上の情報が漏えいしている場合を想定し、エンドユーザのパスワードの変更を推奨いたます。

サーバIDの再発行に関しては、以下のFAQをご参照ください。

 ・マネージドPKI for SSLをご利用の場合   :SO23493 - 【再取得申請】マネージドPKI for SSL サーバID申請手順

 ・ストアフロント申請のサーバIDをご利用の場合  :SO22888 - 証明書を「再発行」できますか

 

7. 元のSSLサーバ証明書は直ちに失効されますか?

新しいサーバIDのインストールが終わり次第、お客様にて失効を行っていただく必要があります。

 

サーバIDの失効に関しては、以下のFAQをご参照ください。

 ・マネージドPKI for SSLをご利用の場合(管理者証明書をお持ちの方のみアクセスできます)   :マネージドPKI for SSL マニュアル

 ・ストアフロント申請のサーバIDをご利用の場合  :SO25490 - User Portalサイトからの証明書失効方法

 

8. サーバIDの再発行に費用はかかりますか?

サーバIDの再発行に費用はかかりません。

 

9. サーバIDの再発行にはどれくらい時間がかかりますか?

シマンテックの営業時間に申請した場合には即日または翌営業日、営業時間外に申請した場合には翌営業日の発行となります。

 

10. 利用しているその他のシマンテック製品に影響はありますか?

一連のシステムの中で脆弱性に該当するバージョンのOpenSSLが利用されている場合、影響を受ける可能性があります。OpenSSLのバージョンアップデートなどの適切な対応を取る必要があります。

 

11. Heartbleed bug の詳細

Heartbleed bug に関する詳細は、以下をご参照ください。

CVE-2014-0160 <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160>

https://www.openssl.org/news/secadv_20140407.txt

http://heartbleed.com