2022年7月6日、OpenSSLプロジェクトはOpenSSLに重要度:高の脆弱性が存在すると発表しました。
発表内容(英文)この脆弱性は、次のお客様が対象です。
- 当社専用サーバーサービスご利用中のお客様
- 専用サーバー、VPSサーバー、クラウド型サーバご利用中のお客様
上記のサービスご利用のお客様のうち、OpenSSL 3.0.4ご利用の方
当社の共用サーバーサービスをご利用中の方は、対策済です。
共用サーバーなど、root権限の無いサーバーをご利用中の方は、ご利用中のサーバー会社の対応をお調べください。
発表された脆弱性の内容
リモートコード実行の可能性
CVE-2022-2274 (重要度:高)
OpenSSL 3.0.4リリースでAVX512IFMAをサポートしているX86_64CPUでのRSA実装に重大なバグが混入しました。この問題で2048ビットの秘密鍵がRSA実装で不正なものになり計算中にメモリ破壊が発生する可能性があります。このメモリ破壊で攻撃者はリモートマシン上でコード実行ができる可能性があるそうです。SSL/TLSサーバやその他の2048ビットRSA秘密鍵で、AVX512IFMをX86_64アーキテクチャでサポートしている場合にはこの問題の影響を受ける可能性があります。
対象のOpenSSLバージョン
OpenSSL 3.0.4
詳細は、CVEのサイトをご覧ください。
対策
OpenSSL 3.0.5へアップデートしてください。
対策作業について
サーバ保守契約をご利用のお客様または納品後3か月以内のお客様
CentOS 7、AlmaLinux 8、rocky linux 8ご利用の場合
パッケージ確認及びアップデートは当社で承ります。
CentOS 6、8 ご利用の場合
既にcentOS6及び8は、サポート終了しておりますのでサポート中のCentOS7、AlmaLinux 8、rocky linux 8にアップデートご検討ください。
納品後3か月以上のお客様でサーバ保守契約をご利用されていないお客様
CentOS 7、AlmaLinux 8、rocky linux 8ご利用の場合
ご自身でご対応いただくか、当社まで依頼してください。但し当社にご依頼いただく場合は、別途有償となります。
CentOS 6及び8 ご利用の場合
既にcentOS6及び8は、サポート終了しておりますのでサポート中のCentOS7、AlmaLinux 8、rocky linux 8等にアップデートご検討ください。