2014年4月8日
クロストラスト株式会社

OpenSSL 1.0.1に含まれる脆弱性への対応に関するお知らせ


OpenSSL 1.0.1(及びOpenSSL1.0.2-beta)に重大な脆弱性(The Heartbleed Bug)が発見されました。 少なくとも下記に記載するディストリビューションについては脆弱性のあるOpenSSLを含む可能性があります:

  Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  CentOS 6.5, OpenSSL 1.0.1e-15
  Fedora 18, OpenSSL 1.0.1e-4
  OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  FreeBSD 10.0 (OpenSSL 1.0.1e)
  NetBSD 5.0.2 (OpenSSL 1.0.1e)
  OpenSUSE 12.2 (OpenSSL 1.0.1c)
(※対象とするディストリビューションに誤りがありましたので、2014年4月10日付で情報を修正いたしました。)
公開サーバにおいて本件脆弱性のあるOpenSSLを使用していた場合には秘密鍵漏洩のおそれがありますので、OpenSSLのアップデート後に秘密鍵及びSSLサーバ証明書の更新が推奨されます。

弊社では、本件に関しまして以下の通り対応させていただきます:
  1. 証明書新規発行時の注意喚起およびサーバ運用環境の確認
    本日以降一定の期間、証明書の新規発行時に本件脆弱性についての注意喚起と、お客様のサーバ運用環境(OS及びOpenSSLのバージョン)を確認させていただきます。
  2. 既存発行分の証明書に対する本件脆弱性の告知
    現在有効である当社発行の全ての証明書につきまして、本件脆弱性についてご申請担当者(アカウント担当者)に対し弊社からご連絡させていただきます。
  3. 本件脆弱性を確認されたサーバ上で利用されていた証明書の無償再発行
    お客様において本件脆弱性のあるOpenSSLの利用が確認された場合、OpenSSLのアップデート後に弊社より同一の有効期限を持つ証明書を無償にて再発行させていただきます。なお秘密鍵漏洩の可能性がありますので、必ず新規に生成したCSRをご利用下さい。
なお、今回報告された脆弱性の技術的詳細及びOSのアップデート手順等につきましては、以下のURLをご参照ください:

  Hartbleed.com : http://heartbleed.com
  JVN : http://jvn.jp/vu/JVNVU94401838/index.html
  US-CERT : http://www.kb.cert.org/vuls/id/720951
  Debian.org : https://security-tracker.debian.org/tracker/CVE-2014-0160
  Ubuntu : http://www.ubuntu.com/usn/usn-2165-1/
  Red Hat : https://access.redhat.com/security/cve/CVE-2014-0160

【本件に関するお問い合わせ先】
クロストラスト株式会社 認証サービス部
Tel:0120-979-717
E-mail:sales@crosstrust.co.jp