大阪オフィスの桶谷です。こんにちは。

今週から大阪オフィスにも1人メンバーが増えました。祝ぼっち脱出。

さて、先日のHeartbleedに続いて、またしてもOpenSSLの脆弱性が発見されました。今回はCCS Injectionです。

ということで対応方法をまとめてみました。

※最終更新 2014/06/11 1:00

CCS Injection脆弱性(CVE-2014-0224)の概要・対策・発見経緯について

• 株式会社レピダム さんの脆弱性発見ニュース http://lepidum.co.jp/news/2014-06-05/news-CCS-Injection/
• 株式会社レピダム さんの脆弱性の概要説明 http://ccsinjection.lepidum.co.jp/ja.html
• Openssl.org https://www.openssl.org/news/secadv_20140605.txt
• IPA による説明 https://www.ipa.go.jp/security/ciadr/vul/20140606-jvn.html

以下のサイトで今回の脆弱性がどれくらい危険なのか、というスコアが公開されています。

• http://www.kb.cert.org/vuls/id/978508

• http://nvd.nist.gov/cvss.cfm?vector=(AV:A/AC:M/Au:N/C:C/I:P/A:N/E:POC/RL:OF/RC:C/CDP:H/TD:H/CR:H/IR:M/AR:L)&version=2

対応を行わないとクライアント/サーバ間の通信が悪意のある第三者に覗かれる恐れがあり、痕跡を残さずにトラフィックの内容、ユーザーID/パスワードなどが盗まれてしまう可能性があります。

Heartbleedと異なり、秘密鍵を盗まれることはありません。ただし、クライアント/サーバ間で脆弱性が含まれているOpenSSLを用いて秘密鍵を送受信している場合は通信を覗かれている可能性がありますのでご注意ください。

AWSの各プロダクトの対応状況につきましては下記にまとめられています。

• http://aws.amazon.com/jp/security/security-bulletins/openssl-security-advisory/

下記にAWSの各サービスの現状と対応方法を記載します。

Elastic Beanstalk

対応済みとのことです(2014/6/6 12:00)。既存の環境に対してはmigrateを行う必要があります。

• https://forums.aws.amazon.com/ann.jspa?annID=2509

EMR

対応済みとのことです(2014/6/6 12:00)。Amazon Linux同様、OpenSSLのupdate/各サービスの再起動が必要になります。

Redshift

対応済みとのことです(2014/6/6 15:00)。適用には再起動が必要になり、次のMaintenance Windowで適用されるようにスケジュールされます。

ELB

対応済みとのことです(2014/6/7 17:00)。利用者側が特に行うことはありません。

CloudFront

対応済みとのことです(2014/6/7 17:00)。利用者側が特に行うことはありません。

CloudHSM

対応済みとのことです(2014/6/7 17:00)。利用者側が特に行うことはありません。

S3

対応済みとのことです(2014/6/7 17:00)。利用者側が特に行うことはありません。

SNS、SQS

対応済みとのことです(2014/6/11 1:00)。利用者側が特に行うことはありません。

RDS

RDSについては、RDS for PostgreSQLのみが影響を受けます。MySQL/Oracle/SQLServerについては問題ないとのこと。

PostgreSQLについては対応済みとのことです。適用には再起動が必要になり、次のMaintenance Windowで適用されるようにスケジュールされます。

EC2 各ディストリビューションの対応

Red Hat Linux

https://access.redhat.com/site/articles/904433

CentOS

https://www.centos.org/forums/viewtopic.php?f=11&t=46561

Debian GNU/Linux

https://security-tracker.debian.org/tracker/CVE-2014-0224

Ubuntu

http://www.ubuntu.com/usn/usn-2232-1/

Fedora

https://admin.fedoraproject.org/updates/openssl-1.0.1e-38.fc20

対応方法

Amazon Linux

OpenSSLのバージョンがopenssl-1.0.1g-1.70.amzn1であれば脆弱性に対応されたバージョンがインストールされています。そうでない場合は

sudo yum clean all
sudo yum update openssl

した後、OpenSSLに依存しているサービスの再起動が必要です。一番手っ取り早いのはインスタンスの再起動ですね。

最後に

放っておくと情報漏えいの可能性がどんどん高くなっていきますので出来るだけ早めに対応してしまいましょう。

参考URL

以下のサイトが非常によくまとまっております。

• http://d.hatena.ne.jp/Kango/20140605/1401978480

追記

• 各ディストリビューションの対応、参考URL（6/6 13:00）
• Redshift（6/6 15:00）
• IPAの説明を追加、AWSの各サービスを更新（6/7 17:00）
• AWSの各サービスを更新（全サービスの対応完了）