OpenSSL のセキュリティーに関する重要な最新情報: CVE-2014-0160 (ハートブリード)
OpenSSL による Transport Layer Security (TLS) および Datagram Transport Layer Security (DTLS) の Heartbeat 拡張機能パケットの処理方法で、情報漏えいの不具合があることが発見されました。この不具合は、通称ハートブリードと呼ばれるバグです。
悪意のある TLS または DTLS のクライアント/サーバーは、特殊な細工がされた TLS または DTLS の Heartbeat パケットを送信して、接続されたクライアントまたはサーバーからの要求ごとに一定量のメモリーを読み出せるようにすることが可能です。このようにして読み出されるメモリーには、秘密鍵などの機密情報が含まれている可能性がある点に注意してください。(CVE-2014-0160)
この問題は、Red Hat Enterprise Linux 5 および Red Hat Enterprise Linux 6.4 以前で同梱されている OpenSSL のバージョンには影響はありません。影響があるのは、OpenSSL 1.0.1e が同梱されている Red Hat Enterprise Linux 7 beta、Red Hat Enterprise Linux 6.5、Red Hat Enterprise Virtualization Hypervisor 6.5、および Red Hat Storage 2.1 です。
- Red Hat Enterprise Linux におけるこのバグの対処方法に関する詳しい情報は https://access.redhat.com/site/solutions/781793 を参照してください。
- Red Hat Enterprise Virtualization Hypervisor におけるこのバグの対処方法に関する詳しい情報は https://access.redhat.com/site/solutions/781843 を参照してください。
- Red Hat Storage におけるこのバグの対処方法に関する詳しい情報は https://access.redhat.com/site/solutions/782053 を参照してください。
システムを更新した後には、Red Hat's Heartbleed Detector を使用して、そのシステムがセキュリティー保護されているかどうかを検証することができます。セキュリティー調査コミュニティーの追加報告により、脆弱なシステムから SSL キーが不正に取得される可能性があることが判明したため、この脆弱性の影響を受けたシステム上の SSL キーを変更することを強く推奨します。詳細については Recovering from the Heartbleed Vulnerability を参照してください。
対応スケジュール
Red Hat Web サイトの脆弱性に関するお知らせ
2014 年 4 月 7 日、OpenSSL プロジェクトは CVE-2014-0160 (別名 「ハートブリード」) で特定された脆弱性への対応に関する最新情報を発表しました。
Red Hat は、セキュリティー対策に真剣に取り組んでいます。顧客データが伝送される以下の Red Hat Web サイトは、SSL/TLS 通信で脆弱な OpenSSL ライブラリーに依存していなかったため、「ハートブリード」の脆弱性による影響はありませんでした。
- www.redhat.com
- access.redhat.com (Red Hat カスタマーポータル)
- rhn.redhat.com (Red Hat Network)