NSSライブラリの脆弱性に関するSSL対応サイトへの影響と確認方法

こんにちは。「SiteCloud」プリセールスの高瀬です。

2021年12月に暗号ライブラリである「NSS」について脆弱性(CVE-2021-43527)が発表されました。

悪用されると任意のコマンドが実行される可能性がある危険な脆弱性ということでRedhat社からは最も重要度の高いCritical Impact と発表されています。

https://access.redhat.com/security/cve/CVE-2021-43527

NSSはWebサイトやメール送受信などでも使われているSSL/TLS通信を実装しているライブラリとなっており、コンテンツやサーバー環境によってはWebサイトにも影響する可能性があります。

上述の通り悪用されると任意のコマンドが実行される可能性があるため、サーバーを乗っ取られてしまうリスクがあります。

ホスティングサービスやレンタルサーバーを利用している場合はサービスの提供元へ影響有無を確認することをお勧めしますが、専用サーバーやクラウドサーバーを自社で構築している場合は影響範囲を確認する必要があります。

本記事では脆弱性を受けるバージョンと一般的なWebサーバーでの影響有無の確認方法をご紹介します。

脆弱性の対象となるバージョン

影響を受けるNSSのバージョンは3.73以下、もしくは3.68.1以下と発表されています。

https://nvd.nist.gov/vuln/detail/CVE-2021-43527

ただし、RedhatなどのOSに付属しているパッケージを利用している場合は下記のようにOS提供元が修正パッケージを発表していることもありますため、各社の対応状況を確認する必要があります。

■ Amazon Linux 2

https://alas.aws.amazon.com/AL2/ALAS-2021-1722.html

■ Red Hat Enterprise Linux Server 7

https://access.redhat.com/errata/RHSA-2021:4904

影響バージョンの確認方法

Amazon Linux 2やRed Hat Enterprise Linux Server 7でyumを利用している場合はrpmコマンドなどで関連パッケージが上述の対応済みバージョンかそれ以上となっているか確認します。

# rpm -qa | grep "nss-\|nspr-"

もしもバージョンが古い場合はサイトの影響を確認の上、修正パッケージの適用を検討する必要があります。

Webサイトへの影響について

Apacheを利用している場合

Apacheを利用してmod_sslパッケージをインストールしてSSLの設定を行っている場合はOpenSSLを用いるため影響はありません。mod_nssパッケージを利用している場合は影響を受ける可能性があります。

NSSのバージョン確認と同様、yumを利用している場合は下記のコマンドでmod_nssパッケージの有無を確認できます。

# rpm -q mod_nss

Nginxを利用している場合

Nginxはコンパイル時にOpenSSLライブラリの場所を指定するようになっており、NSSを使ったメジャーなライブラリも見当たらないため、通常は影響しないと思われます。

https://nginx.org/en/docs/configure.html

cURLによる影響

Webサーバーではありませんが、PHPで外部と通信するのによく使われるcURLも環境によってはNSSを利用している可能性があります。

下記のコマンドでOpenSSLではなくNSSのバージョンが表示された場合はNSSのバージョンについて確認が必要です。

# curl -V

さいごに

NSSはインターネットで広く使われているSSL/TLSを提供しているライブラリとなるため、影響範囲を把握する方法もサイトによって様々です。

上記以外でもPHPやPerlのライブラリや独自実装で動作しているプログラムなど、サイト内の機能で通信にNSSを利用している可能性もあるため、ご利用のサイトの制作会社やサーバー提供元にも影響の有無を確認されることをお勧めします。

自社サーバーなどで脆弱性対応が難しい場合、弊社でお客様サーバーについてヒアリングや調査させていただき、運用や移行についてご提案可能ですのでぜひご相談くださいませ。

コーポレートサイトをクラウドでセキュアに

SiteCloudガイドブック

「SiteCloud」の詳しい内容が分かる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • SiteCloudの主な機能
  • 導入事例
  • 導入までの流れ

関連する解決策

最新記事

タグ

詳しい資料をご覧いただけます

    サイバーの鎧のサービス内容を記載した資料をダウンロードできます。
             

【無料診断実施中】サーバーセキュリティ診断

経験豊富なセキュリティ専門技術者が、サーバーの状況を診断して、分かりやすい診断結果と今後の対応策をご覧いただけます。

無料サーバー診断申し込み
close