OpenSSLに重度の脆弱性発見の模様、せっかくの機会なのでcloudpack-CSIRTの活動を紹介します

最新の記事を掲載しました
シンジです。またもやOpenSSLに重度の脆弱性があるとのことです。7月9日にアップデートがリリースされるそうですが、対象範囲などをcloudpackのCSIRT(脆弱性対応チーム)の運用に則って見てみます。

発表された原文を見てみる

The OpenSSL project team would like to announce the forthcoming release
of OpenSSL versions 1.0.2d and 1.0.1p.

These releases will be made available on 9th July. They will fix a
single security defect classified as “high” severity. This defect does
not affect the 1.0.0 or 0.9.8 releases.

要約してみる

バージョン 1.0.0 もしくは 0.9.8 には影響なしと判断します。

対象のバージョンは以下の予定です。

1.0.1
1.0.2

しかしながら、実際にどんな影響があるのか、どんな脆弱性なのかが判断出来ない状態です。

cloudpack-CSIRTの運用フローを確認する

cloudpack SecurityWhitePaperから抜粋(33ページ目)

現在は「情報収集」及び「影響判定」が進行中です(2015/07/07 現在)

cloudpackでは、まずは対象のバージョンで動作中かどうかを判定するプログラム及び、MSPや構築担当者による確認にて、cloudpackで運用中の全ての環境を調査中、洗い出しを行っております。

cloudpackで運用中のお客様の場合、影響度が低いもしくは、全く影響を受けない可能性も考えられます。影響度をしっかりと判定した上で、対応が必要と判断した場合は対象のお客様へご連絡致します。