先日発表された OpenSSL の複数の脆弱性への対策についてお知らせします。脆弱性の詳細については、以下のサイトをご覧ください。

1. Cross-protocol attack on TLS using SSLv2 (DROWN) (CVE-2016-0800)（英文）
2. BN_hex2bn/BN_dec2bn NULL pointer deref/heap corruption (CVE-2016-0797)（英文）
3. Fix memory issues in BIO_*printf functions (CVE-2016-0799)（英文）
4. Side channel attack on modular exponentiation (CVE-2016-0702)（英文）
5. Double-free in DSA code (CVE-2016-0705) （英文）
6. Memory leak in SRP database lookups (CVE-2016-0798)（英文）
7. Divide-and-conquer session key recovery in SSLv2 (CVE-2016-0703)（英文）
8. Bleichenbacher oracle in SSLv2 (CVE-2016-0704)（英文）

関連情報

• [openssl-announce] OpenSSL Security Advisory(英文）
• Important: openssl security update | Red Hat Customer Portal(英文）
• DROWN: Cross-protocol attack on TLS using SSLv2 (CVE-2016-0800) | Red Hat Customer Portal(英文）
• OpenSSL の複数の脆弱性に関する注意喚起｜JPCERT
• OpenSSLにまたもや脆弱性 - アップデート推奨｜マイナビニュース

Movable Type クラウド版（UNIBaaS 含む）

上記1〜4については、ベンダーから対応済みのバージョンが提供されており、すべてのお客様の環境でアップデート対応済みとなります（5〜8については、ベンダーにより影響なし、あるいは対応なしとされています）。本アップデートに基づく、お客様の作業はございません。

Movable Type for AWS

Movable Type for AWS では、Amazonが対応なしとしています。詳細は下記 Amazon からの情報をご参照ください。

• CVE-2016-0800 Advisory（英語）

これに関して今後、追加情報の発表があればお知らせします。

▼ 2016年3月11日 13:00 追記

Amazon Linux の対策済みのパッケージが配布されています。すでに稼働中のインスタンスでは、お客様自身の手でアップデートをお願いいたします。新規に作成されるインスタンスにおいては、下記作業の必要はありません。。

• ALAS-2016-661（英語）

ご利用の Movable Type for AWS のバージョンが、6.0.3-1 より前のバージョンをご利用中の場合は、こちらの手順に従い、6.2.4-0 へのアップデートを先に行ってください。

6.0.6-0 が稼働するインスタンス上で、次のコマンドを実行してください。

  $ sudo yum clean all
  $ sudo yum update openssl

コマンドが正常に終了したのち、インスタンスの再起動を行ってください

以上です。