GnuTLS の脆弱性について(CVE-2014-3466)

主要Linuxディストリビューションに使われているオープンソースのSSL／TLSライブラリGnuTLSについて、脆弱性(CVE-2014-3466)が確認されました。

この脆弱性を突かれると、悪用された場合、クライアントサイドで任意のコードを実行される可能性がございます。該当のお客様につきましては、修正パッチがリリースされておりますので、早急に修正パッチの適用をお願いいたします。

■対象：

VPS、クラウドサーバー、使えるクラウドをご利用のお客様（Linux）で、GnuTLSライブラリをご利用のお客様

※ご注意※

・2011年2月より販売のFX用VPSプランをご利用のお客様は、特に対応の必要はございません。
・共有サーバープランをご利用のお客様は、特に対応の必要はございません。

■対策：

1. ご契約サーバーにSSHでログインし、下記コマンドでライブラリを利用しているか調べます。表示がない場合は利用しておりませんので、対策は不要です。コマンドの結果が表示された場合は、引き続き、(2)へお進みください。

#lsof -Pn | grep libgnutls

2. gnutlsのパッケージを対策済のバージョンへyum等でアップグレードしてください。お客様にて対応が難しい場合は、有料スポットサポートでお承りしておりますので、使えるねっと サポートセンター へご相談ください。

対策済のパッケージは下記となります。

CentOS5 gnutls-1.4.1-16.el5_10.x86_64.rpm
CentOS6 gnutls-2.8.5-14.el6_5.x86_64


■関連情報：

http://www.itmedia.co.jp/enterprise/articles/1406/04/news034.html
https://bugzilla.redhat.com/show_bug.cgi?id=1101932