OpenSSL(オープンソースのSSL/TLS暗号化ライブラリ)のバージョン1.0.1/1.0.2系に、 秘密鍵などの漏えいにつながる恐れのある深刻な脆弱性(CVE-2014-0160)が2014年4月7日 (米国時間)に発見されたそうです。 CentOS6.5のインストールメディアに入っているOpenSSLのバージョンは確か1.0.1だったよ うな・・・。さっそく確認すると見事にビンゴ!ほったらかすとSSLサーバー証明書の秘密鍵、 そしてユーザー名やパスワード、あるいはメールや重要な文書など、暗号化しているはずの コンテンツが盗み出されてしまう可能性が・・・。((((;゜Д゜))) ってことで対応手順をまとめてみます。 まぁうちのサーバにそんな重要な情報ありませんが。なにか。 OS: CentOS 6.5(64-bit) OpenSSL: 1.0.1e-15.el6 → 1.0.1e-16.el6_5.7
■OpenSSLのバージョン確認
[root@centos65 ~]# rpm -q openssl openssl-1.0.1e-15.el6.x86_64 [root@centos65 ~]#Codenomiconが公開(http://heartbleed.com/)した詳細バージョンを確認してみる。
※上記サイトの一部抜粋
How about operating systems?
Some operating system distributions that have shipped with potentially vulnerable OpenSSL version:
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
- FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
■OpenSSLのアップデート
[root@centos65 ~]# yum update openssl (中略) ============================================================================ Package Arch Version Repository Size ============================================================================ Updating: openssl x86_64 1.0.1e-16.el6_5.7 updates 1.5 M Updating for dependencies: openssl-devel x86_64 1.0.1e-16.el6_5.7 updates 1.2 M Transaction Summary ============================================================================ Upgrade 2 Package(s) (中略) Updated: openssl.x86_64 0:1.0.1e-16.el6_5.7 Dependency Updated: openssl-devel.x86_64 0:1.0.1e-16.el6_5.7 Complete! [root@centos65 ~]#
■バージョン再確認
[root@centos65 ~]# rpm -q openssl openssl-1.0.1e-16.el6_5.7.x86_64 [root@centos65 ~]### 念のためビルドされた日時も確認
[root@centos65 ~]# openssl version -a OpenSSL 1.0.1e-fips 11 Feb 2013 built on: Tue Apr 8 02:39:29 UTC 2014 platform: linux-x86_64 options: bn(64,64) md2(int) rc4(8x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM OPENSSLDIR: "/etc/pki/tls" engines: dynamic [root@centos65 ~]#とりあえずこれで一安心。
ちなみに、OpenSSL 0.9.8系/1.0.0系については、この脆弱性は存在しないそうです。
こちらの情報が何かのお役に立てましたら幸いです。サイト継続ご協力のほどお願い申し上げます。m(_ _)m
0 件のコメント:
コメントを投稿