CVE-2014-0224 OpenSSL の脆弱性を修正するにはどうすればよいですか?

サーバーの OpenSSL のバージョンをアップグレードする必要があります。脆弱性はソフトウェア コード自体にあります。

詳細はこちらをご覧ください: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
またはここ:
http://www.openssl.org/news/secadv_20140605.txt

編集: 重要なテキストは次のとおりです:

OpenSSL 0.9.8 SSL/TLS ユーザー (クライアントおよび/またはサーバー) は、0.9.8za にアップグレードする必要があります。OpenSSL
1.0.0 SSL/TLS ユーザー (クライアントおよび/またはサーバー) は、1.0.0m にアップグレードする必要があります。OpenSSL
1.0.1 SSL/TLS ユーザー (クライアントおよび/またはサーバー) は、1.0.1h にアップグレードする必要があります。

CVE-2014-0224 では openssl の更新が必要です。

より強力な暗号が利用可能であるにもかかわらず、TLS 1.1 以降のプロトコルでは RC4 暗号が使用されます。

そして

サーバーは参照ブラウザでの Forward Secrecy をサポートしていません。

単なる Web サーバーの設定の問題です。

次のようになります (Apache を想定):

SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off
# Add six earth month HSTS header for all users...
Header add Strict-Transport-Security "max-age=15768000"
# If you want to protect all subdomains, use the following header
# ALL subdomains HAVE TO support HTTPS if you use this!
# Strict-Transport-Security: max-age=15768000 ; includeSubDomains
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRS
A+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LO
W:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA
128-SHA:AES128-SHA'

推奨されているhttps://bettercrypto.org/ 暗号強化を適用しました。HTTP Strict Transport Security (hsts) の使用は、問題を引き起こしたり、サーバーの負荷を大幅に増加させる可能性があるため、慎重に判断する必要があります。セキュリティの観点から、推奨されます。

証明書はおそらく問題ありませんが、Heartbleed の悪用可能なバージョンの openssl で使用されていた場合は、証明書を置き換える必要があります (侵害されている可能性があります)。

ただし、openssl をアップグレードして Web サーバーを構成するには、スーパーユーザー権限が必要です。共有ホスティングを使用している場合は、ホスティング会社に修正を依頼する以外に何もできません。そして、おそらく彼らは気にしないでしょう。