主要Linuxディストリビューションに使われているオープンソースのSSL/TLSライブラリGnuTLSについて、脆弱性(CVE-2014-3466)が確認されました。
この脆弱性を突かれると、悪用された場合、クライアントサイドで任意のコードを実行される可能性がございます。該当のお客様につきましては、修正パッチがリリースされておりますので、早急に修正パッチの適用をお願いいたします。
■対象:
VPS、クラウドサーバー、使えるクラウドをご利用のお客様(Linux)で、GnuTLSライブラリをご利用のお客様
※ご注意※
・2011年2月より販売のFX用VPSプランをご利用のお客様は、特に対応の必要はございません。
・共有サーバープランをご利用のお客様は、特に対応の必要はございません。
■対策:
1. ご契約サーバーにSSHでログインし、下記コマンドでライブラリを利用しているか調べます。表示がない場合は利用しておりませんので、対策は不要です。コマンドの結果が表示された場合は、引き続き、(2)へお進みください。
#lsof -Pn | grep libgnutls
2. gnutlsのパッケージを対策済のバージョンへyum等でアップグレードしてください。お客様にて対応が難しい場合は、有料スポットサポートでお承りしておりますので、使えるねっと
サポートセンター
へご相談ください。
対策済のパッケージは下記となります。
CentOS5 gnutls-1.4.1-16.el5_10.x86_64.rpm
CentOS6 gnutls-2.8.5-14.el6_5.x86_64
■関連情報:
http://www.itmedia.co.jp/enterprise/articles/1406/04/news034.html
https://bugzilla.redhat.com/show_bug.cgi?id=1101932
コメント
記事コメントは受け付けていません。