OpenSSLにおけるHeartbleed脆弱性 (CVE-2014-0160) が、最近大きな注目を集めています。発見された問題はOpenSSLに固有のものですが、多くのお客様が、この問題がMicrosoftの製品/サービス、特にMicrosoft Azureに影響を与えるのかどうかと考えています。MicrosoftアカウントとMicrosoft Azure、ほとんどのMicrosoftサービスは、OpenSSLの脆弱性の影響を受けませんでした。WindowsのSSL/TLS実装も、影響を受けませんでした。
Microsoft Azure Webサイト、Microsoft Azure Pack Webサイト、Microsoft Azureクラウド サービス (Webロール) は、SSL接続のターミネーションを行うために、OpenSSLを使っていません。Windowsには、Secure Channel (SChannel) と呼ばれる独自の暗号化コンポーネントが含まれており、これはHeartbleed脆弱性の影響を受けません。
OpenSSLは、Linuxにおいて、暗号化機能を提供する一般的なライブラリです。Azure仮想マシンにおいてLinuxイメージやOpenSSLを使うソフトウェアを実行しているお客様は、脆弱な可能性があります。脆弱な可能性のあるすべてのお客様は、お使いのソフトウェア ディストリビューション プロバイダーのガイダンスに従うことを推奨します。さらなる情報と是正処置のガイダンスについては、こちらでUS Certの情報をご確認ください。
関連情報
- Microsoft Azure Blog > Information on Microsoft Azure and Heartbleed (2014/04/09)
- Microsoft Security Blog > Microsoft Services unaffected by OpenSSL “Heartbleed” vulnerability (2014/04/10)
- 日本のセキュリティチーム » Microsoft サービスは OpenSSL「Heartbleed」脆弱性の影響を受けません (2014/04/11)
- Microsoft Open TechnologiesOpenSSL Vulnerability Addressed by VM Depot Publishers (2014/04/09)
- Erez Benari’s Blog > Information about HeartBleed and IIS (2014/04/09)
- S/N Ratio > AzureにおけるOpenSSLの脆弱性への対応 (2014/04/09)