専用サーバに関するお知らせ│専用サーバ

【重要】OpenSSL1.0.1に含まれる脆弱性について

                                 2014年4月10日
お客様各位
                         さくらインターネット株式会社

 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。

 この度、OpenSSL の脆弱性を悪用した情報漏えいの可能性があるとして、コンピュー
タセキュリティ関連の情報発信などを行うJPCERTコーディネーションセンターより注意
喚起が発表されています。

 ▼JPCERTコーディネーションセンター
  OpenSSL の脆弱性に関する注意喚起
  https://www.jpcert.or.jp/at/2014/at140013.html

 弊社提供中の下記サービスのOSにおいて、対象となるバージョンの OpenSSL がインス
トールされている場合がございます。
 お客様におかれましては、ご利用の OpenSSL のバージョンをご確認いただき、不正に
利用されないよう対策をお願いいたします。
 なお、対策の一例として詳細情報を下記にご案内いたしますのでご参照ください。

 ▼対象サービス
  ・さくらのVPS
  ・さくらのクラウド
  ・さくらの専用サーバ
  ・専用サーバ
  ・専用サーバPlatform Ad/St
  ・ハウジング

  ※さくらのレンタルサーバ、さくらのマネージドサーバについては影響ありません。

 さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、精一杯
努めて参ります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。


                   <記>


■対象バージョン
  以下のバージョンが脆弱性の影響を受けます。
 ・OpenSSL 1.0.1 から 1.0.1f
 ・OpenSSL 1.0.2-beta から 1.0.2-beta1

■対策方法
 以下、いずれかの方法でご対応ください。

 ・脆弱性の修正版に更新する
 ・OpenSSL の heartbeat extension を無効にする

 バージョンの確認方法、対策方法詳細については以下のURLをご参照ください。

 ▼さくらのクラウドニュース - OpenSSLの脆弱性にご注意ください
  http://cloud-news.sakura.ad.jp/2014/04/10/20140407-openssl-security-advisory/

■SSLサーバ証明書を導入中のお客様へ
 脆弱性を持つバージョンの OpenSSL を使用している場合は、外部の第三者からサーバ
 プロセス内部のメモリ情報を閲覧され、秘密鍵など保護されるべき情報を取得される
 可能性があります。
 鍵の再生成、証明書の再発行、古い証明書の失効手続きを推奨いたします。

 ▼セコムトラストシステムズ株式会社
  - OpenSSL (1.0.1~1.0.1fおよび1.0.2-betaシリーズ)に含まれる脆弱性に関する
   重要なお知らせ
  https://www.secomtrust.net/service/pfw/news/oshirase20140409.html

 ▼シマンテック・ウェブサイトセキュリティ(旧ベリサイン)
  - Security Advisory - 脆弱性:OpenSSL Heartbleed Bug
   (CVE-2014-0160/CVE-2014-0346) について
  https://knowledge.verisign.co.jp/support/ssl-certificates-support/index?page=content&id=AD835

 ▼GMOグローバルサイン株式会社
  - OpenSSL 1.0.1に含まれる脆弱性への対応のお願い
  https://jp.globalsign.com/information/important/detail.php?no=1396947073

■本件に関するお問い合わせ
  メールアドレス : support@sakura.ad.jp