OpenSSLと「Heartbleed」脆弱性について
– OpenSSLをご存じない方のために説明しますと、これはSecure Sockets Layer (SSL v2/v3)およびTransport Layer Security (TLS v1)プロトコルを実装したオープンソースのツールキットであり、強力な汎用暗号ライブラリでもあります。
– この脆弱性は2011年12月31日から存在していたが、2012年3月14日にOpenSSLバージョン1.0.1がリリースされたことにより、脆弱性のあるコードが広く使用されるようになった。攻撃者はウェブ・サーバーのメモリーを読み取ることで、機密データにアクセスし、サーバーとそのユーザーのセキュリティを脅かす可能性がある。サーバーの秘密マスターキーを含む潜在的に安全なデータが危険にさらされる可能性がある。
– edgeNEXUS ALBは、より最近になってバージョン3.25.2(ビルド1431)でこのOpenSSLリリースを採用したため、「heartbleed」脆弱性はALBのこのリリースとそれ以降のリリースに存在する。
Heartbleed」脆弱性を解決するedgeNEXUSパッケージの詳細
edgeNEXUSはALBハードウェアおよび仮想アプライアンス向けのサービスパック5、バージョン3.54.1(ビルド1540)をリリースしました。このサービスパック5では、OpenSSL暗号ライブラリをバージョン1.0.1gに置き換えることで、OpenSSLのハートブリード脆弱性を解決しています。SP5には、以前のリリースに比べてさまざまなバグ修正とパフォーマンスの改善も含まれています。
エッジネクサスALBのリリースを最新にしていない場合は、さらに中間ビルドを使用してアップデートする必要があることにご注意ください。SP5はバージョン3.21.2(ビルド1420)以降(を含む)のリリースを直接アップデートするために使用することができますが、ALBがバージョン3.21.2(ビルド1420)よりも古いビルドで動作している場合、追加の手順については「support@edgenexus.io」までメールでサポートにお問い合わせください。
SP5 32ビットアップデートパッケージ バージョン3.54.1(ビルド1540)のダウンロードの詳細については、support@edgenexus.io。
