ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
ニュース概要
– 10月25日、暗号化通信ライブラリ「OpenSSL」に重大な脆弱性が存在するとして、修正バージョンのリリースが予告されました。
– 脆弱性はOpenSSLバージョン3.0系に存在するとされ(1.1.1系およびそれ以前には存在しないとのことです)、2014年4月に修正された「Heartbleed」と同レベルに致命的なものとされています。
– 修正バージョン3.0.7は、11月1日夜間~同2日深夜にリリース予定とされ(追記:11月2日未明にリリースされました)、3.0系を利用している場合は速やかにアップデートが推奨されています。
AUSからの所感
OpenSSLはHTTPSのみならずメール送受信やVPNといった広範囲なSSL/TLS暗号化通信等で使用され、脆弱性の内容によってはOpenSSLを使用するサーバー側・クライアント側両方が攻撃を受ける恐れがあります。
主なLinuxディストリビューションにおいては、AlmaLinux 9/Rocky Linux 9・Amazon Linux 2022やUbuntu 20.04LTSがOpenSSL 3.0系を使用しており、脆弱性の影響を受けるとされる一方、CentOS 7・Debian 11およびUbuntu 20.04LTS以前は1.1.1系を使用しているため影響は受けない模様です。
この他、OpenSSLを独自に組み込んでいるソフトウェア・アプライアンス等においても脆弱性の影響を受ける可能性があり、ベンダーからアップデートがリリースされる場合がありますので、更新情報を随時確認し、必要なアップデートがあれば即時適用できるような体制を整えることが重要です。