tracpath のサービスは影響ありません
こんにちは、オープンソースの暗号化ライブラリである OpenSSL の脆弱性が発表された2014年4月7日以降大きな騒ぎになっており、多くのニュースに取り上げられました。
お客様よりセキュリティに対するお問い合せがあったため、ブログ記事として公開させて頂きます。
tracpath は OpenSSL を利用していますが、脆弱性の影響はありません。脆弱性発表があった以降、すべてのサービスについて調査を実施し、影響がないことを確認しております。
[JPCERT/CC]OpenSSL の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140013.html
[IPA]OpenSSL の脆弱性対策について(CVE-2014-0160)
http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
[IPA]OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について
http://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html
もし、脆弱性のある OpenSSL を利用していたら…
証明書の秘密鍵とユーザのパスワード・セッションクッキーの漏えいが主なリスクです。
つまり、証明書は再発行する必要があり、利用者のパスワードは再設定が必要になります。