約一ヶ月前の情報ですが、作業の備忘録として。 2014/06/05(米国時間)US-CERTより OpenSSL Releases Security Advisory にてOpenSSLのOpenSSL CCSインジェクション セキュリティ脆弱性が発表された。

今回対象のバージョン次の通り
  • OpenSSL 0.9.8
  • OpenSSL 1.0.0
  • OpenSSL 1.0.1

修正バージョンはそれぞれ次の通りである
  • OpenSSL 0.9.8za
  • OpenSSL 1.0.0m
  • OpenSSL 1.0.1h
このセキュリティ脆弱性の中にはMan-in-the-Middle(MITM)攻撃なども含まれており、暗号化通信の内容を第三者(=攻撃者)が読み取ったり、改ざんしたりすることができる深刻な脆弱性も含まれている。とのことです。この脆弱性はOpenSSLの最初のリリースから存在しており、16年もの間発見されてこなかったようです。
詳しい解説は「@IT - OpenSSLに再び脆弱性、MITM攻撃につながる恐れ」を参照ください。

今回のこの脆弱性によりESXiに於いても対策パッチが発表されております。
KB:VMware ESXi 5.5, Patch ESXi-5.5.0-20140604001-standard (2077361)


一般的にはPatch Manager Download Portalからパッチを検索してダウンロードするかと思いますが Download Patches(VMWare公式ログイン不要)からも検索することができます。

修正パッチ適用コマンド
# esxcli software profile update -d /vmfs/volumes/datastore1/ESXi550-201406001.zip -p ESXi-5.5.0-20140604001-standard