[和訳] OpenSSL 脆弱性 CVE-2016-0701 と Chef #getchef
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本稿は OpenSSL Vulnerability CVE-2016-0701 and Chef (2016/01/28) の和訳です。
2016年1月28日、OpenSSLチームは新しい 高重要度セキュリティ勧告 をリリースしました。この新しい高重要度セキュリティ勧告の公表と同時に、OpenSSL チームは、これらの勧告にある脆弱性の修正を含む OpenSSL コードの新しいバージョンも利用可能にしました。これらのセキュリティ勧告にある脆弱性のレビュー後、Chef 社のチームは、本日明らかになった OpenSSL の脆弱性により、Chef プロダクトが即座にはリスクにさらされることはない、という判断を下しました。
ユーザーへの推奨事項
OpenSSL 1.0.2.は、CVE-2016-0701 脆弱性を持つ唯一の OpenSSL のバージョンなので、
さらなる調査結果
OpenSSL 1.0.2 DH small subgroups (CVE-2016-0701)
OpenSSL 1.0.2 を含む Chef プロダクトはありません。その結果、Chef プロダクトは CVE-2016-0701 で明らかになった脆弱性の影響を受けていません。
SSLv2 が無効な暗号文をブロックしない (CVE-2015-3197)
Chef プロダクトは現在、CVE-2015-3197 にある低重要度のエクスプロイトに対して脆弱性のある OpenSSL 1.0.1 を含んでいます。OpenSSL Software Foundation は「低重要度の脆弱性は変更履歴とコミットメッセージに記載されますが、新規リリースは行いません」との注意書きがあります。
Chef 社の対応計画
新しく公開された OpenSSL 高重要度セキュリティ勧告 で明らかにされている脆弱性により、Chef ユーザーが即座に対応をする必要はありません。Chef プロダクトは CVE-2016-0701 に対して脆弱性はありません。Chef 社は元々計画していた製品リリーススケジュールにある今後に予定しているリリースで、 OpenSSL に新しくリリースされたパッチを含む予定です。