先日発表された OpenSSL の複数の脆弱性への対策についてお知らせします。脆弱性の詳細については、以下のサイトをご覧ください。
- Cross-protocol attack on TLS using SSLv2 (DROWN) (CVE-2016-0800)(英文)
- BN_hex2bn/BN_dec2bn NULL pointer deref/heap corruption (CVE-2016-0797)(英文)
- Fix memory issues in BIO_*printf functions (CVE-2016-0799)(英文)
- Side channel attack on modular exponentiation (CVE-2016-0702)(英文)
- Double-free in DSA code (CVE-2016-0705) (英文)
- Memory leak in SRP database lookups (CVE-2016-0798)(英文)
- Divide-and-conquer session key recovery in SSLv2 (CVE-2016-0703)(英文)
- Bleichenbacher oracle in SSLv2 (CVE-2016-0704)(英文)
関連情報
Movable Type クラウド版(UNIBaaS 含む)
上記1〜4については、ベンダーから対応済みのバージョンが提供されており、すべてのお客様の環境でアップデート対応済みとなります(5〜8については、ベンダーにより影響なし、あるいは対応なしとされています)。本アップデートに基づく、お客様の作業はございません。
Movable Type for AWS
Movable Type for AWS では、Amazonが対応なしとしています。詳細は下記 Amazon からの情報をご参照ください。
これに関して今後、追加情報の発表があればお知らせします。
▼ 2016年3月11日 13:00 追記
Amazon Linux の対策済みのパッケージが配布されています。すでに稼働中のインスタンスでは、お客様自身の手でアップデートをお願いいたします。新規に作成されるインスタンスにおいては、下記作業の必要はありません。。
- ALAS-2016-661(英語)
ご利用の Movable Type for AWS のバージョンが、6.0.3-1 より前のバージョンをご利用中の場合は、こちらの手順に従い、6.2.4-0 へのアップデートを先に行ってください。
6.0.6-0 が稼働するインスタンス上で、次のコマンドを実行してください。
$ sudo yum clean all
$ sudo yum update openssl
コマンドが正常に終了したのち、インスタンスの再起動を行ってください
以上です。