この脆弱性は、次のお客様が対象です。
- 当社専用サーバーサービスご利用中のお客様
- 専用サーバー、VPSサーバー、クラウド型サーバご利用中のお客様
当社の共用サーバーサービスをご利用中の方は、対策済です。
共用サーバーなど、root権限の無いサーバーをご利用中の方は、ご利用中のサーバー会社の対応をお調べください。
OpenSSL に重大な脆弱性が確認されました。この脆弱性は、OpenSSL ライブラリの BN_mod_sqrt 関数に不正な曲線パラメーターを指定した場合無限ループが発生する欠陥を利用し、攻撃者が不正な曲線パラメーターを持つように細工した証明書をOpenSSL に処理させることによりサービス拒否攻撃を可能とする問題です。
設定変更などによる本脆弱性の回避方法はございません。
https://access.redhat.com/security/cve/CVE-2022-0778
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0778
https://www.openssl.org/news/secadv/20220315.txt
https://lists.centos.org/pipermail/centos-announce/2022-March/073577.html
https://errata.almalinux.org/8/ALSA-2022-1065.html
影響を受けるOSバージョン
- RHEL 6
- CentOS 6
- CentOS 7
- AlmaLinux 8
提供される対策バージョン
CentOS 7
- openssl-1.0.2k-25.el7_9.x86_64.rpm
- openssl-debuginfo-1.0.2k-25.el7_9.i686.rpm
- openssl-debuginfo-1.0.2k-25.el7_9.x86_64.rpm
- openssl-devel-1.0.2k-25.el7_9.i686.rpm
- openssl-devel-1.0.2k-25.el7_9.x86_64.rpm
- openssl-libs-1.0.2k-25.el7_9.i686.rpm
- openssl-libs-1.0.2k-25.el7_9.x86_64.rpm
- openssl-perl-1.0.2k-25.el7_9.x86_64.rpm
- openssl-static-1.0.2k-25.el7_9.i686.rpm
- openssl-static-1.0.2k-25.el7_9.x86_64.rpm
AlmaLinux 8
- openssl-1.1.1k-6.el8_5.x86_64.rpm
- openssl-devel-1.1.1k-6.el8_5.i686.rpm
- openssl-devel-1.1.1k-6.el8_5.x86_64.rpm
- openssl-libs-1.1.1k-6.el8_5.i686.rpm
- openssl-libs-1.1.1k-6.el8_5.x86_64.rpm
- openssl-perl-1.1.1k-6.el8_5.x86_64.rpm
対策作業について
サーバ保守契約をご利用のお客様または納品後3か月以内のお客様
CentOS 7、AlmaLinux 8、rocky linux 8ご利用の場合
パッケージ確認及びアップデートは当社で承ります。
CentOS 6、8 ご利用の場合
既にcentOS6及び8は、サポート終了しておりますのでサポート中のCentOS7、AlmaLinux 8、rocky linux 8にアップデートご検討ください。
納品後3か月以上のお客様でサーバ保守契約をご利用されていないお客様
CentOS 7、AlmaLinux 8、rocky linux 8ご利用の場合
ご自身でご対応いただくか、当社まで依頼してください。但し当社にご依頼いただく場合は、別途有償となります。
CentOS 6及び8 ご利用の場合
既にcentOS6及び8は、サポート終了しておりますのでサポート中のCentOS7、AlmaLinux 8、rocky linux 8等にアップデートご検討ください。