平成26年4月8日、JPCERT/CCから、Webサイトの暗号化通信(https)用のプログラムである
OpenSSLに深刻な脆弱性があると報道されました。
この脆弱性に対して攻撃が行われると、通信先のメモリ内に格納されている秘密鍵などの
重要な情報を取得される可能性があります。
平成26年4月25日(金)の時点で、KUDOSで管理しているすべてのWebサーバへの調査・対処は
完了しましたが、Webサーバを所属部署や研究室独自で構築されている場合は、下記をご確認の上、
早急に対処いただきますようお願いいたします。
【対象バージョン】
– OpenSSL 1.0.1 から 1.0.1f
– OpenSSL 1.0.2-beta から 1.0.2-beta1
【対策】
最新版のOpenSSL 1.0.1gにアップデートするか、「-DOPENSSL_NO_HEARTBEATS」オプションを
有効にし、OpenSSLを再コンパイルしてください。詳細はJPCERT/CCのWebサイトをご覧ください。