ブログ

OpenSSL 脆弱性対応 (CVE-2016-6304)の対応について

​​お客様 各位

手嶋屋 OpenPNE 技術サポートサービスです。
いつも弊社サービスをご利用いただき、誠にありがとうございます。

さて、 OpenSSLに複数の脆弱性 (CVE-2016-6304)が確認されましたのでお知らせいたします。

想定される影響としては、openSSL のサーバに 非常の大きな OCSP ステータスリクエストを送り付けると​​

サービス妨害(DoS)攻撃を受ける可能性があります。
また、OCSP をサポートしていなくても、サーバがデフォルトの設定で影響を受けます。

本脆弱性やその影響については以下を参照してください。

* OCSP Status Request extension unbounded memory growth (CVE-2016-6304)
  
* JVNVU#98667810 OpenSSL に複数の脆弱性
  

対象バージョン

•OpenSSL 1.1.0 users should upgrade to 1.1.0a
•OpenSSL 1.0.2 users should upgrade to 1.0.2i
•OpenSSL 1.0.1 users should upgrade to 1.0.1u

対策

OpenSSLを最新版にアップデートする必要があります。
また、各ディストリビューションの情報を確認することが必要です。

ディストリビューション

+ Debian
https://www.debian.org/security/2016/dsa-3673
https://security-tracker.debian.org/tracker/CVE-2016-6304

+ CentOS
https://access.redhat.com/security/cve/CVE-2016-6304

以上、お手数おかけしますがよろしくお願いいたします。


■公式SNS
https://sns.openpne.jp/
OpenPNEユーザーの皆さんが気軽にコミュニケーションができるQ&Aサイトです。
どなたでも無料で利用できます。(facebook、google、twitter の各アカウントでログインが可能です。)

■技術サポートサービス
http://support.pne.jp/
OpenPNE開発元の手嶋屋が提供しているサービスです。
有料になりますがこちらにお申し込みいただきますと弊社のOpenPNE開発エンジニアがOpenPNEの様々なトラブルについて、調査・サポートさせていただきます。

今後とも、OpenPNE 技術サポートをよろしくお願いいたします。