本稿は OpenSSL Vulnerability CVE-2016-0701 and Chef (2016/01/28) の和訳です。

2016年1月28日、OpenSSLチームは新しい 高重要度セキュリティ勧告 をリリースしました。この新しい高重要度セキュリティ勧告の公表と同時に、OpenSSL チームは、これらの勧告にある脆弱性の修正を含む OpenSSL コードの新しいバージョンも利用可能にしました。これらのセキュリティ勧告にある脆弱性のレビュー後、Chef 社のチームは、本日明らかになった OpenSSL の脆弱性により、Chef プロダクトが即座にはリスクにさらされることはない、という判断を下しました。

ユーザーへの推奨事項

OpenSSL 1.0.2.は、CVE-2016-0701 脆弱性を持つ唯一の OpenSSL のバージョンなので、Chef ユーザーはこの公表に対して即座に行動する必要はありません。Chef プロダクトは OpenSSL 1.0.2 を含んでいないからです。

さらなる調査結果

OpenSSL 1.0.2 DH small subgroups (CVE-2016-0701)

OpenSSL 1.0.2 を含む Chef プロダクトはありません。その結果、Chef プロダクトは CVE-2016-0701 で明らかになった脆弱性の影響を受けていません。

SSLv2 が無効な暗号文をブロックしない (CVE-2015-3197)

Chef プロダクトは現在、CVE-2015-3197 にある低重要度のエクスプロイトに対して脆弱性のある OpenSSL 1.0.1 を含んでいます。OpenSSL Software Foundation は「低重要度の脆弱性は変更履歴とコミットメッセージに記載されますが、新規リリースは行いません」との注意書きがあります。

Chef 社の対応計画

新しく公開された OpenSSL 高重要度セキュリティ勧告 で明らかにされている脆弱性により、Chef ユーザーが即座に対応をする必要はありません。Chef プロダクトは CVE-2016-0701 に対して脆弱性はありません。Chef 社は元々計画していた製品リリーススケジュールにある今後に予定しているリリースで、 OpenSSL に新しくリリースされたパッチを含む予定です。