特に重要なセキュリティ欠陥・ウイルス情報

暗号ライブラリ OpenSSL 1.0.1〜1.0.1f、1.0.2-beta1 に欠陥があり、最大 64k バイトのメモリー内容が、接続しているクライアントあるいはサーバーに漏洩する「Heartbleed（心臓出血）バグ」の存在が明らかとなっています。マスメディアでも広く報道されており、ご存じの方も多いかと思います。

• OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 (@IT)

理工学部内において該当するサーバーを稼働させていたサイトについては、既に対応されているか、あるいは個別に対応を依頼しています。

しかし上記のように、この欠陥はサーバーだけでなくクライアントにも影響します。欠陥のあるクライアントソフトウェア（Web ブラウザや FTP ソフトなど）を使って悪意のあるサーバーに接続すると、クライアント内部のメモリーが読み取られ、アカウント情報（ユーザー名、パスワード）などが漏洩する可能性があります。

OS 標準の OpenSSL ライブラリの更新が必要なもの

Linux や FreeBSD といったフリー OS では OpenSSL が標準的に使用されているため、該当するバージョンの OpenSSL がインストールされていると、OS 全体が欠陥の影響を受けます。必ず更新してください。

FreeBSD や NetBSD、OpenBSD、Mac OS X において、ports や pkgsrc、MacPorts といった 3rd パーティーソフトウェア管理パッケージを使用している場合は、そこでインストールしている OpenSSL についても更新が必要となる場合があります。

個別のアプリケーションソフトウェアの更新が必要となるもの

主に Windows 用のアプリケーションにおいて、独自に OpenSSL を使用しているために更新が必要となるものがあります。以下では更新済みバージョンを記載しています。

ファームウェアの更新が必要となるもの

組み込み機器のファームウェアに OpenSSL が組み込まれている場合、ファームウェアの更新が必要となります。

利用しているサービスでの対応が必要となるもの

利用している Web サービスが Heartbleed バグの影響を受けていた場合、サービスが更新されたことを確認した後に、念のためにパスワードを更新した方がよいでしょう。

Mac OS OS X Lion v10.7.5、Mountain Lion v10.8.5、Mavericks 10.9.2 用の Security Update 2014-002 が公開されました。33 件のセキュリティ欠陥が修正されています。

• Security Update 2014-002 (Apple)

利用者は、ソフトウェアアップデートを使って更新してください。

関連キーワード: Mac

Java SE 7 Update 55、Java SE 8 Update 5 が公開されました。37 件のセキュリティ欠陥が修正されています。Java SE 利用者は更新してください。

• Java SE Downloads (Oracle)

Java SE 6 の公式アップデートは 2013 年 2 月で終了しました。既に Java 6 を狙ったゼロデイ攻撃も行われています。Windows・Linux 版 Java SE 6 の利用者は、早急に Java SE 7 または Java SE 8 へアップグレードしてください。

Mac OS X 版 Java SE 6 についても、更新版の公開が終了した模様です。Java が必要な場合は、Java SE 7 または Java SE 8 をインストールしてください。

Java SE 7 Update 10 以降では、「Web ブラウザでの Java 無効化」を、Java コントロールパネルから簡単に設定できるようになりました。[セキュリティ] タブの「ブラウザで Java コンテンツを有効にする」のチェックを外すだけです。Web ブラウザ上では Java を利用しない場合は、このチェックを外しておいてください。チェックを外すことを強く推奨します。

関連キーワード: Java

WordPress 3.8.2 セキュリティリリースが公開されました。認証 Cookie を偽装できるセキュリティ欠陥が修正されています。

• WordPress 3.8.2 セキュリティリリース (WordPress)

引き続いて WordPress 3.8.3 メンテナンスリリースが公開されました。WordPress 3.8.2 セキュリティリリースに含まれていた、「クイックドラフト」が機能しない欠陥が修正されています。

• WordPress 3.8.3 メンテナンスリリース (WordPress)

WordPress 利用者は更新してください。

注意

管理画面の「ダッシュボード → 更新」で WordPress を更新したい場合は、プロキシの設定が必要となります。

wp-config.php の「/* 編集が必要なのはここまでです ! WordPress でブログをお楽しみください。 */」より上の部分に、次のように記載します。

define('WP_PROXY_HOST', 'cache.st.ryukoku.ac.jp');
define('WP_PROXY_PORT', '8080');
define('WP_USEPROXY', 'TRUE');

wp-includes/class-snoopy.php の 46 行目あたりにある

var $proxy_host     =   "";                 // proxy host to use
var $proxy_port     =   "";                 // proxy port to use

を、次のように変更します。

var $proxy_host     = WP_PROXY_HOST;        // proxy host to use
var $proxy_port     = WP_PROXY_PORT;        // proxy port to use

wp-includes/class-snoopy.php の 117 行目あたりにある

var $_isproxy   =   false;                  // set if using a proxy server

を、次のように変更します。

var $_isproxy   = (WP_USEPROXY == 'TRUE') : true ? false;  // set if using a proxy server

上記設定後、WordPress にログインして管理画面を開き、「ダッシュボード → 更新」を実行してください。wp-includes/class-snoopy.php の修正は、更新の度に必要となります。

2014.04.18 追記

WordPress 3.9 日本語版が公開されました。

• WordPress 3.9 日本語版リリースのお知らせ (WordPress)

最新の WordPress にアップグレードすることを強く推奨します。なお、管理画面から本体アップグレードを行った場合は、別途 WP Multibyte Patch プラグインを 2.0に更新することが必要となるので注意してください。

Microsoft から 2014 年 4 月の月例セキュリティ更新プログラムが公開されています。11 件のセキュリティ欠陥が修正されています。

• 2014 年 4 月のセキュリティ情報 (Microsoft)
• 2014 年 4 月のセキュリティ情報 (月例) - MS14-017 ～ MS14-020 (Microsoft)

Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

以下の点に注意してください。

• Mac 用 Office (Office for Mac 2011) の更新を含んでいます。Mac 用 Office の利用者は、忘れずに更新してください。
• 今回をもって Windows XP と Office 2003 へのセキュリティ更新の提供は終了しました。Windows XP・Office 2003 を利用している方は、早急に Windows 7・8、Office 2010・2013 などに移行してください。

関連キーワード: Windows, Office