Movable Type News

OpenSSL における DROWN、CacheBleed を含む複数の脆弱性への対応について

先日発表された OpenSSL の複数の脆弱性への対策についてお知らせします。脆弱性の詳細については、以下のサイトをご覧ください。

  1. Cross-protocol attack on TLS using SSLv2 (DROWN) (CVE-2016-0800)(英文)
  2. BN_hex2bn/BN_dec2bn NULL pointer deref/heap corruption (CVE-2016-0797)(英文)
  3. Fix memory issues in BIO_*printf functions (CVE-2016-0799)(英文)
  4. Side channel attack on modular exponentiation (CVE-2016-0702)(英文)
  5. Double-free in DSA code (CVE-2016-0705) (英文)
  6. Memory leak in SRP database lookups (CVE-2016-0798)(英文)
  7. Divide-and-conquer session key recovery in SSLv2 (CVE-2016-0703)(英文)
  8. Bleichenbacher oracle in SSLv2 (CVE-2016-0704)(英文)

関連情報

Movable Type クラウド版(UNIBaaS 含む)

上記1〜4については、ベンダーから対応済みのバージョンが提供されており、すべてのお客様の環境でアップデート対応済みとなります(5〜8については、ベンダーにより影響なし、あるいは対応なしとされています)。本アップデートに基づく、お客様の作業はございません。

Movable Type for AWS

Movable Type for AWS では、Amazonが対応なしとしています。詳細は下記 Amazon からの情報をご参照ください。

これに関して今後、追加情報の発表があればお知らせします。

▼ 2016年3月11日 13:00 追記

Amazon Linux の対策済みのパッケージが配布されています。すでに稼働中のインスタンスでは、お客様自身の手でアップデートをお願いいたします。新規に作成されるインスタンスにおいては、下記作業の必要はありません。。

ご利用の Movable Type for AWS のバージョンが、6.0.3-1 より前のバージョンをご利用中の場合は、こちらの手順に従い、6.2.4-0 へのアップデートを先に行ってください。

6.0.6-0 が稼働するインスタンス上で、次のコマンドを実行してください。

  $ sudo yum clean all
  $ sudo yum update openssl

コマンドが正常に終了したのち、インスタンスの再起動を行ってください

以上です。