こちらでは初めまして、大阪で孤軍奮闘中の桶谷です。<br />
現在、話題になっているOpenSSLの脆弱性への対応方法をまとめてみました。
※随時更新中。最終更新 2014/04/11 12:29
OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ
- http://www.itmedia.co.jp/enterprise/articles/1404/08/news038.htm
- こちらに今回の脆弱性についての説明動画があります http://vimeo.com/91425662
The Heartbleed Bug
対応を行わないとクライアント/サーバ間の通信が悪意のある第三者に覗かれる恐れがあり、痕跡を残さずにトラフィックの内容、ユーザーID/パスワードなどが盗まれてしまう可能性があります。
AWSから公式見解はこちらです。
日本語訳されたもの
AWSの各プロダクトにつきましては下記にまとめられています。
下記にELB、CloudFront、<span style="font-size: 13px;">Redshift、RDS、OpsWorks、Elastic Beanstalk、</span><span style="line-height: 1.6em;">EC2の現状と対応方法を記載します。</span>
ELB
ELBはすでに稼働しているもの、およびこれから起動するものについても対応済みとAWSサポートに確認をとっております。<br />
また、SSL証明書を作成時に秘密鍵が漏洩している可能性があるため、安全のため既存でご利用の証明書は差し替えることを推奨しているというアドバイスもいただきました。(いったん失効させて再取得する方法です)
ELBにセットした証明書の更新手順については下記をご参照ください。
ELBについても影響を受けるようですがまだ対応中のようです。
https://forums.aws.amazon.com/thread.jspa?messageID=535168&tstart=0#535168
CloudFront
CloudFrontでCustom SSLをご利用の場合は下記をご参照ください。
Redshift
ReshiftクラスターへのOpenSSL脆弱性の対応は2014/4/8 04:15am PDT (2014/4/8 20:15pm JST) に対応が終わってます。
それより前に起動した場合は、次回のメンテナンス時に適応されます。もし今すぐの対応をご希望の場合はマネージメントコンソール上でメンテナンス設定を行うで反映させる事が出来ます。起動は通常2分内で終わります。
2014/4/8 04:15am PDT (2014/4/8 20:15pm JST) 以降に起動したクラスターについては適応済みのノードになります。
RDS
PostgreSQL RDS
-
OpenSSL脆弱性の対応は2014/4/8 03:23am PDT(2014/4/8 19:23pm JST)に対応が終わっています。
それより前に起動した場合は、次回のメンテナンス時に適応されます。もし今すぐの対応をご希望の場合はマネージメントコンソール上でリブートを行う事で反映させる事が出来ます。
2014/4/8 03:23am PDT(2014/4/8 19:23pm JST) 以降に起動したPostgreSQL RDSについては適応済みのサーバになります。
MySQL RDS
- 影響なし
Oracle RDS
- 影響なし
Elastic Beanstalk
シングル構成での利用の顧客に関しては<strike>現在対応中との事です(2014/4/9 17:37 JST)</strike> Container(v1.0.1)にて対応済みとの事です。以下のサイトに対応方法の記載があります。(2014/4/11 12:31)
OpsWorks
稼働中のスタックには<span style="font-family: 'ヒラギノ角ゴ Pro W3', 'Hiragino Kaku Gothic Pro', Osaka, メイリオ, Meiryo, 'MS Pゴシック', 'MS PGothic', sans-serif; font-size: 13.63636302947998px; line-height: 22.400001525878906px;">update_dependenciesを実行しアップデートし、プロセスの再起動を行う必要があります。</span>
EC2 各ディストリビューションの対応
Ubuntu
<a href="http://www.ubuntu.com/usn/usn-2165-1/" target="_blank">http://www.ubuntu.com/usn/usn-2165-1/</a>
Debian GNU/Linux
<a href="https://security-tracker.debian.org/tracker/CVE-2014-0160" target="_blank">https://security-tracker.debian.org/tracker/CVE-2014-0160</a>
Red Hat Linux
<a href="https://access.redhat.com/security/cve/CVE-2014-0160" target="_blank">https://access.redhat.com/security/cve/CVE-2014-0160</a>
CentOS
<a href="https://www.centos.org/forums/viewtopic.php?f=13&t=45812&p=194507&hilit=openssl+1.0.1f#p194507" target="_blank">https://www.centos.org/forums/viewtopic.php?f=13&t=45812&p=194507&hilit=openssl+1.0.1f#p194507</a>
Amazon Linux
<a href="https://forums.aws.amazon.com/thread.jspa?messageID=535192#535192" target="_blank">https://forums.aws.amazon.com/thread.jspa?messageID=535192#535192</a>
Fedora
<a href="https://bugzilla.redhat.com/show_bug.cgi?id=1085065" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1085065</a>
対応方法
Amazon Linux
<a href="http://qiita.com/tachiba/items/83e5fd31d06e6577abb3" target="_blank">http://qiita.com/tachiba/items/83e5fd31d06e6577abb3</a>
1) OpenSSLのアップデートによりglibc-commonが更新されTimezoneがUTCになる場合があります。
UTCに戻るのを避ける為にはOpenSSL更新前に<br />
/etc/sysconfig/clock
Zone="Asia/Tokyo"
UTC=false
に変更をしておきます。
2) OpenSSLをアップデートします。
$ rpm -q openssl
openssl-1.0.1e-37.66.amzn1.x86_64 #<- これであれば適応済み。それ以外でいたら以下のコマンドでアップデートします。
$ sudo yum update openssl
3) サーバの再起動 もしくは必要プロセスの再起動をします。
Debian GNU/Linux / Ubuntu
<a href="http://blog.n-z.jp/blog/2014-04-08-cve-2014-0160.html" target="_blank">http://blog.n-z.jp/blog/2014-04-08-cve-2014-0160.html</a>
CentOS
<a href="http://www.spinics.net/lists/centos-announce/msg04911.html" target="_blank">http://www.spinics.net/lists/centos-announce/msg04911.html</a>
SSL証明書再発行について
証明書期間内であればほとんどの発行局は無償で発行出来る様ですので、ご利用発行局に確認、再発行を行ってください。
最後に
<span style="line-height: 1.6em;">パッチの適用後は新しいSSL鍵ペアに入れ替え(既存のSSL鍵ペアは破棄)を行う必要があります。既に盗まれているかもしれませんから。</span>
出来るだけ早めに対応してしまいましょう。
参考URL
以下のサイトが非常によくまとまっております。
追記
- AWS公式見解追記
- Redshift追記
- RDS追記
- OpsWorks、Elastic Beanstalk追記
- Elastic Beanstalkの対応について追記