大阪オフィスの桶谷です。こんにちは。
今週から大阪オフィスにも1人メンバーが増えました。祝ぼっち脱出。
さて、先日のHeartbleedに続いて、またしてもOpenSSLの脆弱性が発見されました。今回はCCS Injectionです。
ということで対応方法をまとめてみました。
※最終更新 2014/06/11 1:00
CCS Injection脆弱性(CVE-2014-0224)の概要・対策・発見経緯について
- 株式会社レピダム さんの脆弱性発見ニュース http://lepidum.co.jp/news/2014-06-05/news-CCS-Injection/
- 株式会社レピダム さんの脆弱性の概要説明 http://ccsinjection.lepidum.co.jp/ja.html
- Openssl.org https://www.openssl.org/news/secadv_20140605.txt
- IPA による説明 https://www.ipa.go.jp/security/ciadr/vul/20140606-jvn.html
以下のサイトで今回の脆弱性がどれくらい危険なのか、というスコアが公開されています。
対応を行わないとクライアント/サーバ間の通信が悪意のある第三者に覗かれる恐れがあり、痕跡を残さずにトラフィックの内容、ユーザーID/パスワードなどが盗まれてしまう可能性があります。
Heartbleedと異なり、秘密鍵を盗まれることはありません。ただし、クライアント/サーバ間で脆弱性が含まれているOpenSSLを用いて秘密鍵を送受信している場合は通信を覗かれている可能性がありますのでご注意ください。
AWSの各プロダクトの対応状況につきましては下記にまとめられています。
下記にAWSの各サービスの現状と対応方法を記載します。
Elastic Beanstalk
対応済みとのことです(2014/6/6 12:00)。既存の環境に対してはmigrateを行う必要があります。
EMR
対応済みとのことです(2014/6/6 12:00)。Amazon Linux同様、OpenSSLのupdate/各サービスの再起動が必要になります。
Redshift
対応済みとのことです(2014/6/6 15:00)。適用には再起動が必要になり、次のMaintenance Windowで適用されるようにスケジュールされます。
ELB
対応済みとのことです(2014/6/7 17:00)。利用者側が特に行うことはありません。
CloudFront
対応済みとのことです(2014/6/7 17:00)。利用者側が特に行うことはありません。
CloudHSM
対応済みとのことです(2014/6/7 17:00)。利用者側が特に行うことはありません。
S3
対応済みとのことです(2014/6/7 17:00)。利用者側が特に行うことはありません。
SNS、SQS
対応済みとのことです(2014/6/11 1:00)。利用者側が特に行うことはありません。
RDS
RDSについては、RDS for PostgreSQLのみが影響を受けます。MySQL/Oracle/SQLServerについては問題ないとのこと。
PostgreSQLについては対応済みとのことです。適用には再起動が必要になり、次のMaintenance Windowで適用されるようにスケジュールされます。
EC2 各ディストリビューションの対応
Red Hat Linux
https://access.redhat.com/site/articles/904433
CentOS
https://www.centos.org/forums/viewtopic.php?f=11&t=46561
Debian GNU/Linux
https://security-tracker.debian.org/tracker/CVE-2014-0224
Ubuntu
http://www.ubuntu.com/usn/usn-2232-1/
Fedora
https://admin.fedoraproject.org/updates/openssl-1.0.1e-38.fc20
対応方法
Amazon Linux
OpenSSLのバージョンがopenssl-1.0.1g-1.70.amzn1であれば脆弱性に対応されたバージョンがインストールされています。そうでない場合は
sudo yum clean all
sudo yum update openssl
した後、OpenSSLに依存しているサービスの再起動が必要です。一番手っ取り早いのはインスタンスの再起動ですね。
最後に
放っておくと情報漏えいの可能性がどんどん高くなっていきますので出来るだけ早めに対応してしまいましょう。
参考URL
以下のサイトが非常によくまとまっております。
追記
- 各ディストリビューションの対応、参考URL(6/6 13:00)
- Redshift(6/6 15:00)
- IPAの説明を追加、AWSの各サービスを更新(6/7 17:00)
- AWSの各サービスを更新(全サービスの対応完了)