OpenSSL （1.0.1～1.0.1ｆおよび1.0.2-betaシリーズ）に含まれる
脆弱性に関する重要なお知らせ

平素は、セコムパスポートfor Webシリーズをご利用いただき誠にありがとうございます。
掲題の件につきまして、弊社SSLサーバ証明書ご利用時に重大な影響が生じる恐れがございますので、以下の内容をご確認いただき、対策を実施いただきますよう、よろしくお願い申し上げます。

１．内容

OpenSSL※1のバージョン1.0.1～1.0.1ｆおよび1.0.2-betaシリーズに重大な脆弱性が発見されました。Webサーバにおいて該当するバージョンを使用している場合、OpenSSL の heartbeat 拡張の実装には、情報漏えいの脆弱性が存在します。TLS や DTLS 通信において OpenSSL のコードを実行しているプロセスのメモリ内容が通信相手に漏えいする恐れがあります。(CSR生成時は本脆弱性の対象でありません)

※1 OpenSSL：開発したソフトウェアにSSL/TLSによる暗号通信機能を組み込む為のフリーのプログラム

２．該当バージョン

OpenSSLのバージョン1.0.1～1.0.1ｆおよび1.0.2-betaシリーズ

３．影響

悪意のある第三者によって、遠隔操作によりSSLサーバ証明書の秘密鍵などの重要な情報を取得される恐れがあります。

４．対策

OpenSSLのバージョンを以下方法にて確認いただき、該当するバージョンをご使用されている場合は、最新のバージョン(OpenSSL 1.0.1g、OpenSSL1.0.2-beta2予定)へのアップデートをお願いいたします。
本対策を実施された後は、実装されたSSLサーバ証明書の入れ替えを推奨いたします。

【バージョンの確認方法】
OpenSSLがインストールされたサーバ機にて、次のコマンドを実行してください。
#openssl version

５．弊社の対応

OpenSSLの該当バージョンにてセコムパスポートforWebシリーズのご利用が確認された場合、無償にて証明書の再発行を受け賜ります。
再発行のお申し込みの際には、新たに生成したCSRをご利用ください。
尚、再発行にて提供するセコムパスポートforWebシリーズの有効期限は既存のものと同一となります。

６．参考

本件に関する詳細と対策等のサイト
Japan Vulnerability Notes(JVN)
情報処理推進機(IPA)

７．お問い合わせ先

ご不明点などございましたら、こちらまでお問い合わせください。

[close]

OpenSSL （1.0.1～1.0.1ｆおよび1.0.2-betaシリーズ）に含まれる 脆弱性に関する重要なお知らせ