ニュース
» 2014年04月10日 07時35分 UPDATE

OpenSSL脆弱性にベンダーが状況公開、影響システムを探る動きも

「Heartbleed」問題でGoogleやMozilla、Amazon Web Servicesなどの各社が対応状況を説明。顧客側にもSSL証明書の入れ替えなどの対応を促している。

[ITmedia]

 オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」に極めて深刻な脆弱性が見つかった問題で、影響を受ける企業が緊急対応に乗り出している。この脆弱性を悪用されるとパスワードや秘密鍵などの情報が流出する恐れがあり、攻撃を受けたとしても痕跡は残らない。

 Googleは米国時間の9日までに、検索サービスやGmail、YouTube、Wallet、Play、Apps、App Engineなどの主要サービスで問題を修正したと発表した。ChromeとChrome OSは影響を受けないという。

 Google Cloud PlatformやGoogle Search Appliance(GSA)については現在対応中。Google Compute Engineの顧客は各インスタンスについてOpenSSLを手作業で更新するか、既存のイメージを更新版のOpenSSLを含むバージョンに入れ替える必要がある。

 Androidはバージョン4.1.1が影響を受け、パッチに関する情報をパートナー各社に提供している。それ以外のバージョンは影響を受けないという。

 MozillaはPersonaとFirefox Account(FxA)が影響を受けることを明らかにした。両サービスともサーバの大部分をAmazon Web Services(AWS)で運用しているという。Mozillaは全プロダクションサービスのTLS鍵を生成し直し、流出した可能性のある鍵や証明書を失効させる措置を取った。

 AWSはElastic Load Balancing、Amazon EC2、AWS OpsWorks、AWS Elastic Beanstalk、Amazon CloudFrontの各サービスが影響を受けるといい、顧客側にもSSL証明書の入れ替えなどの対応を促している。これ以外のサービスは影響を受けないか、顧客側の行動を必要としない対策を講じたとしている。

 米SANS Internet Storm Centerによると、この他にもRed HatやUbuntuなどの主要Linuxディストリビューションや、Cisco、Juniper、Novellといった各社が対応状況を公開している。

 AppleのOS X Mavericks(10.9)のデフォルトのOpenSSLは、脆弱性が存在しないバージョン0.9.8だという。ただしMacPortsを使っている場合は、脆弱性のあるOpenSSL 1.0.1がインストールされており、対応を必要とする。

 SANSによれば、脆弱性のあるシステムをリモートでスキャンするためのコンセプト実証コードも出現した。実際に探る動きも活発になっていることから、対応を急ぐ必要があるとアドバイスしている。

関連キーワード

OpenSSL | 脆弱性 | SANS


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ