Microsoft AzureとHeartbleedに関する情報

OpenSSLにおけるHeartbleed脆弱性 (CVE-2014-0160) が、最近大きな注目を集めています。発見された問題はOpenSSLに固有のものですが、多くのお客様が、この問題がMicrosoftの製品/サービス、特にMicrosoft Azureに影響を与えるのかどうかと考えています。MicrosoftアカウントとMicrosoft Azure、ほとんどのMicrosoftサービスは、OpenSSLの脆弱性の影響を受けませんでした。WindowsのSSL/TLS実装も、影響を受けませんでした。

Microsoft Azure Webサイト、Microsoft Azure Pack Webサイト、Microsoft Azureクラウド サービス (Webロール) は、SSL接続のターミネーションを行うために、OpenSSLを使っていません。Windowsには、Secure Channel (SChannel) と呼ばれる独自の暗号化コンポーネントが含まれており、これはHeartbleed脆弱性の影響を受けません。

OpenSSLは、Linuxにおいて、暗号化機能を提供する一般的なライブラリです。Azure仮想マシンにおいてLinuxイメージやOpenSSLを使うソフトウェアを実行しているお客様は、脆弱な可能性があります。脆弱な可能性のあるすべてのお客様は、お使いのソフトウェア ディストリビューション プロバイダーのガイダンスに従うことを推奨します。さらなる情報と是正処置のガイダンスについては、こちらでUS Certの情報をご確認ください。

関連情報

• Microsoft Azure Blog > Information on Microsoft Azure and Heartbleed (2014/04/09)
  • http://blogs.msdn.com/b/windowsazure/archive/2014/04/09/information-on-microsoft-azure-and-heartbleed.aspx
• Microsoft Security Blog > Microsoft Services unaffected by OpenSSL “Heartbleed” vulnerability (2014/04/10)
  • http://blogs.technet.com/b/security/archive/2014/04/10/microsoft-devices-and-services-and-the-openssl-heartbleed-vulnerability.aspx
• 日本のセキュリティチーム » Microsoft サービスは OpenSSL「Heartbleed」脆弱性の影響を受けません (2014/04/11)
  • http://blogs.technet.com/b/jpsecurity/archive/2014/04/11/microsoft-services-unaffected-by-openssl-quot-heartbleed-quot-vulnerability.aspx
• Microsoft Open TechnologiesOpenSSL Vulnerability Addressed by VM Depot Publishers (2014/04/09)
  • http://msopentech.com/blog/2014/04/09/openssl-vulnerability-addressed-vm-depot-publishers/
• Erez Benari’s Blog > Information about HeartBleed and IIS (2014/04/09)
  • http://blogs.iis.net/erez/archive/2014/04/09/information-about-heartbleed-and-iis.aspx
• S/N Ratio > AzureにおけるOpenSSLの脆弱性への対応 (2014/04/09)
  • https://satonaoki.wordpress.com/2014/04/09/azure-openssl-vulnerability/