本稿は OpenSSL Vulnerability CVE-2015-0291 and Chef (2015/03/19) の和訳です。

2015/3/19、OpenSSLチームは新しい大変深刻なセキュリティアドバイザリをリリースしました。加えて、OpenSSLチームは既に公開されていたCVE-2015-0204のアドバイザリの深刻度も「高」に引き上げました。新しい大変深刻なセキュリティアドバイザリの公開に伴い、OpenSSLチームはこれらの脆弱性の修正を含むOpenSSLコードの新しいバージョンもリリースしました。これらのセキュリティアドバイザリに記載されている脆弱性の確認の後、Chef社のチームは本日公開されたOpenSSL脆弱性によってChefプロダクトに差し迫ったリスクはないことを確信しました。

ユーザへの推奨

OpenSSL 1.0.2はCVE-2015-0291に記述された脆弱性を突かれてしまうOpenSSLの唯一のバージョンで、ChefプロダクトはOpenSSL 1.0.2を含んでいないので、Chefユーザは脆弱性の公開について急いで行動する必要はありません。

詳しい説明

OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291)

OpenSSL 1.0.2を含んだChefプロダクトはありません。その結果、Chefプロダクトは高レベルセキュリティレポートCVE-2015-0291で公開された脆弱性の影響を受けません。

Freak: RSAが黙って輸出用の暗号強度(EXPORT_RSA)クライアントにダウングレードする問題

輸出用の暗号をサポートするよう設定されたChefプロダクトはありません。その結果、Chefプロダクトは高レベルセキュリティレポートCVE-2015-0204で公開された脆弱性の影響を受けません。

Chef社の対応計画

差し迫った危険はありませんが、Chef社は更新されたOpenSSLのバージョンを含むように、いくつかの製品の新しいバージョンをリリースする準備を既に始めています。ユーザはスケジュールを立てて、必須ではありませんがCVE-2015-0291に対応するようバージョンアップできます。Chefユーザは新しく公開されたOpenSSLの大変深刻なセキュリティアドバイザリについてただちに行動する必要はありません。ChefプロダクトはCVE-2015-0291やCVE-2015-0204に対して脆弱ではありません。Chef社では事前に計画されていたプロダクトのリリーススケジュールに基いて、新しくリリースされたOpenSSLのパッチをプロダクトに含めて公開する予定です。