【対策済】2014/6/6に発表されたOpenSSLに関する情報漏えいの脆弱性に関して
2014年6月6日、ソフトウェアの脆弱性関連情報を展開し注意喚起を行なっている JPCERTコーディネーションセンター(JPCERT/CC、 http://www.jpcert.or.jp/ )より、 下記のOpenSSLに関する情報漏えいの脆弱性に関する注意喚起情報が配信されました。
(1) JVNVU#94401838 OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
概要:http://jvn.jp/vu/JVNVU94401838/index.html
(2) JVN#61247051 OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
概要:http://jvn.jp/jp/JVN61247051/index.html
■ソニックガーデンでの対応状況
上記、脆弱性情報発表後、運用サーバとして利用している外部サービスについて確認しました。 影響を受けた環境は以下の3つでした。
A)自社サービス(SKIP/youRoom)に利用しているAmazonWebServiceの一部機能
B)受託開発でHerokuを利用しているお客様(基盤としてAWSを利用している部分)
C)受託開発でAmazonWebServiceをカスタマイズして利用しているお客様
(A)(B)に関しては、6月6日〜7日にかけてAWS社にて対策が講じられました。 http://aws.amazon.com/jp/security/security-bulletins/openssl-security-advisory/
(C)に関しては、6月6日〜8日にかけて 弊社にてOpenSSLライブラリのアップデートを実施しました。 (該当のお客様には個別にご連絡させて頂いています)
■お客様へのお願い クライアントのセキュリティアップデートの最新版を適用して下さい。 (サーバ・クライアントのバージョン組み合わせで発生する脆弱性があるため)
弊社ではユーザのみなさまに安心してご利用いただけるよう、 引き続きセキュリティ問題には迅速に対応して参りますので、よろしくお願いいたします。