Movable Type News

記事一覧 RSS

2016年 3月 3日(木)

OpenSSL における DROWN、CacheBleed を含む複数の脆弱性への対応について

先日発表された OpenSSL の複数の脆弱性への対策についてお知らせします。脆弱性の詳細については、以下のサイトをご覧ください。

  1. Cross-protocol attack on TLS using SSLv2 (DROWN) (CVE-2016-0800)(英文)
  2. BN_hex2bn/BN_dec2bn NULL pointer deref/heap corruption (CVE-2016-0797)(英文)
  3. Fix memory issues in BIO_*printf functions (CVE-2016-0799)(英文)
  4. Side channel attack on modular exponentiation (CVE-2016-0702)(英文)
  5. Double-free in DSA code (CVE-2016-0705) (英文)
  6. Memory leak in SRP database lookups (CVE-2016-0798)(英文)
  7. Divide-and-conquer session key recovery in SSLv2 (CVE-2016-0703)(英文)
  8. Bleichenbacher oracle in SSLv2 (CVE-2016-0704)(英文)

関連情報

Movable Type クラウド版(UNIBaaS 含む)

上記1〜4については、ベンダーから対応済みのバージョンが提供されており、すべてのお客様の環境でアップデート対応済みとなります(5〜8については、ベンダーにより影響なし、あるいは対応なしとされています)。本アップデートに基づく、お客様の作業はございません。

Movable Type for AWS

Movable Type for AWS では、Amazonが対応なしとしています。詳細は下記 Amazon からの情報をご参照ください。

これに関して今後、追加情報の発表があればお知らせします。

▼ 2016年3月11日 13:00 追記

Amazon Linux の対策済みのパッケージが配布されています。すでに稼働中のインスタンスでは、お客様自身の手でアップデートをお願いいたします。新規に作成されるインスタンスにおいては、下記作業の必要はありません。。

ご利用の Movable Type for AWS のバージョンが、6.0.3-1 より前のバージョンをご利用中の場合は、こちらの手順に従い、6.2.4-0 へのアップデートを先に行ってください。

6.0.6-0 が稼働するインスタンス上で、次のコマンドを実行してください。

  $ sudo yum clean all
  $ sudo yum update openssl

コマンドが正常に終了したのち、インスタンスの再起動を行ってください

以上です。

Maki Sawa   11:45

Movable Type ソフトウェア版は無料トライアルが可能です。
ライセンスの購入、クラウド版の申し込みは、製品購入からお進みください。

Movable Type 全般に関しての疑問や、導入に際してのご相談など、コンサルタントに直接ご相談いただける予約制の相談会を開催しています。

Movable Type 導入相談会のご案内

ドキュメントやユーザー向けの情報はこちら

Movable Type のくわしい使い方や、タグリファレンス、開発者向けのドキュメントなどは、MovableType.jp で公開しています。プラグインやテーマは、プラグインディレクトリをご覧ください。