この記事は過去のUPKIイニシアティブに掲載されていたものです

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-odcert:00075] Re: OpenSSL の脆弱性



NIIの西村です。

Apacheに今回の脆弱性があり秘密鍵を読み込む設定になっていたら、その秘
密鍵は漏洩した可能性があります。私の知る限りこれまでにそれを否定でき
る根拠は出ていません。
そのため、今後の(サーバの)なりすましを防ぐために鍵ペアの更新が大切です。

>> 世の中、OpenSSL の脆弱性でかなりの騒ぎになっているようですが、OpenSSL の
>> アップデートは当然として、みなさま鍵ペア更新、証明書再発行申請までされて
>> いるのでしょうか。

旧証明書の失効も忘れずにお願いします。失効をしなければなりすましは
防げません。


なお、サーバ証明書プロジェクトのフローでは一度あるホスト名(DN)に
サーバ証明書を発行した場合、その証明書を失効してようが有効期限を
過ぎてようが2枚目の証明書は「更新申請」として申請していただかなけ
ればなりません。(「新規発行申請」ではエラーが発生し発行できません)

また、今回の件とは無関係ながら、UPKIサーバ証明書プロジェクトでは
鍵ペア更新を伴わない証明書更新は受け付けられません。エラーになり
ます。有効期限満了の場合の更新申請についても、鍵ペア生成から行なっ
ていただかなければなりませんので、お手数ですがよろしくお願いします。

更新手続き:
https://upki-portal.nii.ac.jp/docs/odcert/howto/ee#case2
(上記URLは一般的な手続きを説明したものですので、詳細は各機関の更新
 手続きを参照してください)


(2014/04/14 13:21), Yasuo Okabe wrote:
> 京都大学の岡部です。
> 
> UPKI事務局側のワークフローを確認しましたが、NII側は自動化されていますの
> で、今回の件で大量に再発行申請が来ても大丈夫です。もちろん各大学での確認
> 作業は大変だと思いますが、NIIのことは気遣っていただく必要ありませんし、
> もちろん無料ですので、遠慮なく再発行してください。
> 
> なお、荻野さまに書いていただいています通り、今回のOpenSSLの脆弱性は秘密
> 鍵の漏洩が疑われるインシデントですので、必ず鍵ペア更新から行ってくださ
> い。証明書の再発行だけでは無意味です。念のためお知らせします。
> 
> (2014/04/14 12:24), Mitsuru Ogino wrote:
>> xxxxxxxxxxx@xxxxxxxxx 購読者各位:
>>
>> 椙山女学園大学の荻野です。お世話になっております。
>>
>> 世の中、OpenSSL の脆弱性でかなりの騒ぎになっているようですが、OpenSSL の
>> アップデートは当然として、みなさま鍵ペア更新、証明書再発行申請までされて
>> いるのでしょうか。
>>
>> 当方はわかる範囲のものは証明書再発行をしようという話になっています。
>>
>>
>> OpenSSL の脆弱性に関する注意喚起
>> https://www.jpcert.or.jp/at/2014/at140013.html
>>
>>> *** 更新: 2014年04月11日追記 *****************************************
>>> 該当するバージョンの OpenSSL を使用したサーバを運用している場合、秘密
>>> 鍵やアカウント情報などの重要な情報が既に漏えいしている可能性があります。
>>> 新しい秘密鍵を作成し、サーバ証明書を再発行するなど、重要な情報が漏えい
>>> している可能性を考慮して、対策を行うことをお勧めします。
>>> **********************************************************************
>>
>> JVNVU#94401838 OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
>> http://jvn.jp/vu/JVNVU94401838/
>>
>>
>> http://www.atmarkit.co.jp/ait/articles/1404/11/news151.html
>>> 警察庁の定点観測システムでは、4月9日以降、この実証コードに実装されて
>>> いるものと一致するパケットが多数観測された。おそらく、「脆弱性が存在
>>> するサーバーなどの探索が実施されているものと考えられる」という。
>>
>> http://www.atmarkit.co.jp/ait/articles/1404/10/news128.html
>>> ■影響を受けるOS、ソフトウェア
>>>
>>> ベンダー名など  影響を受ける製品名、ディストリビューション名など
>>> VMware          「ESXi 5.5」「vCenter Server 5.5」「VMware Fusion 6.0.x」など
>>> Cisco           「Cisco UCS B-Series」「Cisco UCS C-Series」「Cisco IOS XE」など
>>> Fortinet        「FortiGate (FortiOS) 5.x」など
>>> Juniper Networks「Junos OS 13.3R1」など
>>> F5 Networks     「BIG-IP LTM 11.5.0 - 11.5.1」「BIG-IP GTM 11.5.0 - 11.5.1」など
>>> Aruba Networks  「ArubaOS 6.3.x、6.4.x」など
>>> Watchguard Technologies
>>>                   「WatchGuard XTM 11.8.x」など
>>> FreeBSD         FreeBSD 10.0
>>> NetBSD          NetBSD 6
>>> RedHat          Red Hat Enterprise Linux 6
>>> Ubuntu          Ubuntu 13.10、12.10、12.04 LTS
>>> Android         Android 4.1.1

-- 
西村健
国立情報学研究所 TEL:03-4212-2890