ValuesSSL OpenSSL脆弱性 (CVE-2014-0224)についてのお知らせ

お客様各位

平素はValueSSLをご利用頂きまして誠にありがとうございます。

米国時間の2014年6月5日に、OpenSSLプロジェクトは、7つの脆弱性に対応するセキュリティパッチのリリースを発表しました。

本件につきまして、シマンテックグループの認証局(Symantec、Geotrust、Thawte)より、以下のページに案内(英文)がございます。

ご参照下さいますようお願い致します。

シマンテック
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AD868

ジオトラスト
https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=AD869

Thawte
https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=AD870

■上記の案内の参考日本語訳(大意)は以下のとおりです。

重大な脆弱性(CVE-2014-0224)は、Man-in-the-Middle（MITM）攻撃によってクライアント側とサーバー側がともに脆弱性が存在するOpenSSLを利用している場合に、暗号化通信の内容を第三者（＝攻撃者）が読み取ったり、改ざんしたりすることができる深刻な脆弱性を含んでいます。

CVE-2014-0224によるMITM攻撃を実行するには、クライアント側とサーバー側がともに脆弱性が存在するOpenSSLを利用しており、しかもサーバーがバージョン1.0.1以降である必要があります。IE(インターネット・エクスプローラー)、FireFox、サファリおよびクロムようなブラウザは、OpenSSLを使用しません。
このため、この脆弱性が消費者およびTLSセキュリティにとって差し迫った危険が及ぶ可能性は低いと考えられます。

しかしながら、この脆弱性のあらゆる可能性を回避するために、サーバ側のOpenSSLを1.0.1hにアップグレードすることを強く推奨します。

■要点

• 本脆弱性が消費者およびTLSセキュリティにとって差し迫った危険が及ぶ可能性は低い。
• 本脆弱性のために、サーバ証明書の再発行、再設定は必要ありません。
• 本脆弱性のあらゆる可能性を回避するために、サーバ側のOpenSSLを1.0.1hにアップグレードすることを強く推奨します。

OpenSSLのアップグレードにつきましては、サーバ管理会社、サーバ技術担当者にご確認いただきますようにお願い致します。