OpenSSLのChangeCipherSpecメッセージに含まれる
脆弱性に関するお知らせ

１．内容

OpenSSL（※1）のChangeCipherSpecメッセージの処理に欠陥が発見されました。

OpenSSLを以下の該当するバージョンで使用している場合（TLS/SSLのサーバーとクライアントの両方がこの脆弱性を内包している時）、通信経路上の攻撃が可能になります。

※1 OpenSSL：開発したソフトウェアにSSL/TLSによる暗号通信機能を組み込む為のフリーのプログラム

２．影響

この脆弱性が悪用された場合、暗号通信の内容が解読され、情報漏えいする可能性がございます。

※このたびの脆弱性による影響は暗号文を解読される恐れがあるというものであり、サーバー証明書、秘密鍵に直接影響するものではございません。SSL/TLSで保護された通信経路上で秘密鍵を転送したことがなければ、サーバー証明書の再発行は不要です。

３．該当するOpenSSLのバージョン

■サーバー側
 1.0.1〜1.0.1g、 1.0.2-beta1
■クライアント側
 0.9.8y以前のバージョン、　1.0.0〜1.0.0l、　1.0.1〜1.0.1g、　 1.0.2-beta1

４．対策

OpenSSLのバージョンを以下方法にて確認いただき、該当するバージョンをご使用されている場合は、以下の対応をお願いいたします。

【バージョンの確認方法】
OpenSSLがインストールされたサーバー機にて、次のコマンドを実行してください。
#openssl version

■サーバー側
 対応は呼び出しているOpenSSLのバージョンにより異なります。
 1.0.1系　　1.0.1hにアップグレード
 1.0.2系　　　アップグレードができません。1.0.1h、1.0.0m、0.9.8zaのいずれかにダウングレード、
 またはパッチが公開されましたら、パッチを適用ください。

※0系 (0.9.8系やそれ以前) の場合、1.0.0系の場合、対応は不要です。

■クライアント側
 対応は、呼び出しているOpenSSLのバージョンにより異なります。
 0.9.7系やそれ以前の場合　　0.9.8za、1.0.0m、1.0.1hへアップグレード
 0.9.8系　　　0.9.8zaへアップグレード
 1.0.0系　　　1.0.0mへアップグレード
 1.0.1系　　　1.0.1hへアップグレード
 1.0.2系　　　アップグレードができません。1.0.1h、1.0.0m、0.9.8zaのいずれかにダウングレード、
 またはパッチが公開されましたら、パッチを適用ください。

５．参考

本件に関する詳細と対策等につきましては、以下のサイトをご確認ください。
情報処理推進機(IPA)
セキュリティ研究機関である(株)レピダムのホームページ

６．お問い合わせ先

ご不明点などございましたら、こちらまでお問い合わせください。