Microsoft Azure と Heartbleed に関する情報

このポストは、4 月 9 日に投稿された Information on Microsoft Azure and Heartbleed の翻訳です。

最近、OpenSSL を狙った脆弱性の Heartbleed (CVE-2014-0160、英語) が大きな注目を集めています。この問題は OpenSSL に特有のものなのですが、マイクロソフト製品、特に Microsoft Azure への影響を心配するお客様が多数いらっしゃいますので、ここでご報告させていただきます。Microsoft アカウントおよび Microsoft Azure をはじめとするほとんどのマイクロソフト サービスは、OpenSSL の脆弱性の影響を受けることはありませんでした。また、Windows の SSL/TLS 実装にも影響はありませんでした。

Microsoft Azure Web サイト、Microsoft Azure パック Web サイト、Microsoft Azure Web ロールでは、SSL 接続の終端処理に OpenSSL を使用していません。また Windows では、Heartbleed の脆弱性の影響を受けない、独自の暗号化コンポーネントの Secure Channel (通称 SChannel) を使用しています。

OpenSSL は、Linux で広く使用されている暗号化機能を提供するライブラリです。このため、Azure 仮想マシンで Linux イメージを実行している場合や、OpenSSL を使用するソフトウェアでは、脆弱性の影響を受ける可能性があります。マイクロソフトは、この脆弱性の影響を受ける可能性のあるすべてにお客様に対し、ソフトウェアの配布元のガイダンスに従っていただくことを推奨します。詳細情報と対応策のガイダンスについては、米国 CERT の情報 (英語) をご覧ください。