(最新の記事を掲載しました)
シンジです。またもやOpenSSLに重度の脆弱性があるとのことです。7月9日にアップデートがリリースされるそうですが、対象範囲などをcloudpackのCSIRT(脆弱性対応チーム)の運用に則って見てみます。
発表された原文を見てみる
The OpenSSL project team would like to announce the forthcoming release of OpenSSL versions 1.0.2d and 1.0.1p.
These releases will be made available on 9th July. They will fix a single security defect classified as “high” severity. This defect does not affect the 1.0.0 or 0.9.8 releases.
要約してみる
バージョン 1.0.0 もしくは 0.9.8 には影響なしと判断します。
対象のバージョンは以下の予定です。
1.0.1
1.0.2
しかしながら、実際にどんな影響があるのか、どんな脆弱性なのかが判断出来ない状態です。
cloudpack-CSIRTの運用フローを確認する
cloudpack SecurityWhitePaperから抜粋(33ページ目)
現在は「情報収集」及び「影響判定」が進行中です(2015/07/07 現在)
cloudpackでは、まずは対象のバージョンで動作中かどうかを判定するプログラム及び、MSPや構築担当者による確認にて、cloudpackで運用中の全ての環境を調査中、洗い出しを行っております。
cloudpackで運用中のお客様の場合、影響度が低いもしくは、全く影響を受けない可能性も考えられます。影響度をしっかりと判定した上で、対応が必要と判断した場合は対象のお客様へご連絡致します。