【緊急】OpenSSL 1.0.2d, 1.0.1p リリース

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

【2015/07/10 追記あり】

サーバーワークス運用1課のminomです。
今日はOpenSSL脆弱性対応パッチがリリースされるというアナウンスをさせていただきます。

 

緊急:OpenSSL脆弱性パッチリリース

 

既に、いくつかのニュースサイトでも伝えられておりますが、
OpenSSL 1.0.2d, 1.0.1pが2015年7月9日にリリースされます。

このリリースにより“High”に格付けされる脆弱性が修正されます。
影響度やバグの内容はインパクトの大きさを考慮しパッチリリースより後に公表されます。

“High”に格付けされる脆弱性とは、
DoS攻撃、メモリリーク誘発や遠隔操作などの可能性がある脆弱性も含まれる、
最も危険度の高い格付けになります。

lgf01a201304081200

今回の対象にOpenSSL 1.0.0, 0.9.8シリーズは含まれません。
(セキュリティパッチリリースはありますが、”High”に格付けされる脆弱性修正は含まれていません。)

OpenSSL 1.0.2, 1.0.1シリーズをご利用のお客様は
速やかにアップデートすることを強く推奨いたします。

# sudo yum update openssl
#
# sudo service sshd restart

# sudo service httpd restart
# sudo service openvpn restart

OpenSSLパッチの適用自体は上記コマンドで実行できます。
パッチ適用後に、OpenSSLを利用しているサービスの再起動を行う必要があることもお忘れなく。

また、Windowsで独自にOpenSSLをインストールしている場合も対象となります。

参考
OpenSSL.org(英語)
The Register(英語)
Security Week(英語)

 


【2015/07/10 追記】

影響範囲

まず、今回の問題でのAWS各サービスへの影響について報告します。
EC2以外のサービスへの影響はございません。
EC2 Amazon Linuxをご利用の場合には以下のバージョンのOpenSSLパッケージを利用している場合が対象です。

openssl-1.0.1k-10.86.amzn1

Redhat、Ubuntu、CentOSにて公式にリリースしているパッケージでは影響はございませんが、
OpenSSLをご自身でコンパイル、インストールされているようなケースにおいてはご確認いただく必要がございます。
これはWindows全般においても同様です。

複数台のサーバーのバージョン確認とアップデートを簡単に行う方法を参考に付記いたします。

【30分で動かすシリーズ】FabricでOpenSSL祭に対応してみる

概要

最後に、今回のCVEが公開されたので内容をフォローさせていただきます。

Alternative chains certificate forgery (CVE-2015-1793)
======================================================
緊急度:高

証明書の検証時に、OpenSSL(Version 1.0.1n, 1.0.2b)が最初に接続を試みて失敗すると、別の証明書チェーンを探そうとします。
今回の不具合により、攻撃者対して信頼のない証明書で認証をバイパスするための方法を探す手助けになります。

この問題は認証処理を行う全てのアプリケーションに影響します。

対象 対策
OpenSSL 1.0.2b, c OpenSSL 1.0.2dへのアップグレード
OpenSSL 1.0.1n, o OpenSSL 1.0.1pへのアップグレード

参考:
 OpenSSL.org : https://www.openssl.org/news/secadv_20150709.txt
 AWS : https://alas.aws.amazon.com/ALAS-2015-564.html
 Redhat : https://access.redhat.com/solutions/1523323

 

AWS運用自動化サービス「Cloud Automator」