[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00811] OpenSSLの脆弱性について

Subject: [upki-fed:00811] OpenSSLの脆弱性について
Date: Tue, 8 Apr 2014 19:43:50 +0900
From: "MIZUMOTO, Akinori" <xxxxxxxxxxxxxx@xxxxxxxxx>

IdP/SP運用担当者各位
情報交換ML各位

国立情報学研究所 学認事務局です。

OpenSSL 1.0.1系(1.0.1〜1.0.1f)に重大な脆弱性が公開されました。

http://www.openssl.org/news/secadv_20140407.txt

脆弱性を悪用された場合はメモリ上にある暗号化された情報や、秘密鍵の情報
などの機密性の高い情報が漏えいする可能性があります。

この脆弱性は、技術ガイドに則ってCentOS 6でIdP/SPを構築したサーバで影響
を受けます（CentOS 5ではOpenSSL 0.9.8系のため影響を受けません）。
CentOS 6ではすでにアップデートパッケージが出ていますのでアップデートを
行っていただくことをおすすめいたします。

 https://rhn.redhat.com/errata/RHSA-2014-0376.html

   ※ openssl-1.0.1e-16.el6_5.7 が本脆弱性に対応したパッケージです。
      アップデート後にサーバの再起動または、httpd, shibdなどの各種
      サービスの再起動を行ってください。

Windows用のSPはOpenSSLをパッケージ内部に含んでいるため、Shibboleth SPパッ
ケージのアップデートが必要となります。現在Shibboleth Projectにてパッケー
ジを作成している段階とのことです。

CentOS以外のディストリビューションをご利用の場合でも本脆弱性の影響を受
ける可能性がありますので、各ディストリビューションの情報をご確認いただ
くことをお勧めいたします。


----
MIZUMOTO, Akinori
xxxxxxxxxxxxxx@xxxxxxxxx

Follow-Ups:
- [upki-fed:00812] Re: OpenSSLの脆弱性について (CVE-2014-0160)
  - From: Takeshi NISHIMURA

Prev by Date: [upki-fed:00810] 【学認】新規IdP参加のお知らせ
Next by Date: [upki-fed:00812] Re: OpenSSLの脆弱性について (CVE-2014-0160)
Previous by thread: [upki-fed:00810] 【学認】新規IdP参加のお知らせ
Next by thread: [upki-fed:00812] Re: OpenSSLの脆弱性について (CVE-2014-0160)
Index(es):
- Date
- Thread