OpenSSLに新たに脆弱性が見つかっております。
過去のものも含めて内容と対策が発表されておりますのでご紹介します。
OpenSSLの脆弱性の紹介
元ネタはこちらです。
OpenSSLはLinuxには標準と言って良いくらい当たり前に導入されています。
Windowsでは標準では導入されていませんがOpenSSLを利用するアプリケーションと共に導入されている場合があります。
OpenSSL 1.0.2 ClientHello sigalgs DoS
CVE-2015-0291
重要度:高
内容:OpenSSL1.0.2が導入されているサーバに接続する際に署名アルゴリズムの不具合を突いて、サーバに対するDoS攻撃に利用することができる
対策:OpenSSL1.0.2を導入している場合は、1.0.2aに更新する
「 FREAK」の重要度は「高」になりました
CVE-2015-0204
重要度:低→高
内容:クライアントがRSA輸出グレード暗号鍵を要求していない場合でもOpenSSLクライアントにこの鍵を受け入れさせることができる。これにより暗号強度が弱いサーバとクライアント間の通信を行なっているところの解読を試みることができる
対策:OpenSSLが1.0.1の場合、1.0.1kに更新する
OpenSSLが1.0.0の場合、1.0.0pに更新する
OpenSSLが0.9.8の場合、0.9.8zdに更新する
Multiblock corrupted pointer
CVE-2015-0290
重要度:中
内容:マルチブロックの実装の不具合により、この不具合を突いてサーバに対するDoS攻撃に利用することができる
対策:OpenSSL1.0.2を導入している場合は、1.0.2aに更新する
他にCVE-2015-0207、CVE-2015-0286、CVE-2015-0287、CVE-2015-0289など多數上記の元ネタに記載されています。
対策
いずれも対策をしましては、「OpenSSLそれぞれ導入されているバージョンの最新のものに更新する」です。
Amazon Linuxの対策方法はこちらにあります。
1.0.1k-1.82に更新しなさいとあります。
Red Hat Enterprise Linux 5もしくは6については、こちらにredhat様の案内があります。
具体的な対策
Amazon Linux、Red Hat Enterprise LinuxのいずれもyumでOpenSSLを更新します。
具体的な方法を下記に示します。
例としまして、検証を行なった後、停止状態で放置していたAmazon LinuxのEC2インスタンスを使います。
OpenSSLのバージョンを確認します。
$ rpm -qa | grep openssl openssl-1.0.1i-1.78.amzn1.x86_64
OpenSSLを更新します。
$ sudo yum update openssl 読み込んだプラグイン:priorities, update-motd, upgrade-helper Repodata is over 2 weeks old. Install yum-cron? Or run: yum makecache fast amzn-main/latest | 2.1 kB 00:00 amzn-updates/latest | 2.3 kB 00:00 amzn-updates/latest/updateinfo | 213 kB 00:00 amzn-updates/latest/primary_db | 821 kB 00:00 依存性の解決をしています --> トランザクションの確認を実行しています。 ---> パッケージ openssl.x86_64 1:1.0.1i-1.78.amzn1 を 更新 ---> パッケージ openssl.x86_64 1:1.0.1k-1.82.amzn1 を アップデート --> 依存性解決を終了しました。 依存性を解決しました ====================================================================================================================================================================== Package アーキテクチャー バージョン リポジトリー 容量 ====================================================================================================================================================================== 更新します: openssl x86_64 1:1.0.1k-1.82.amzn1 amzn-updates 1.6 M トランザクションの要約 ====================================================================================================================================================================== 更新 1 パッケージ 総ダウンロード容量: 1.6 M Is this ok [y/d/N]: y Downloading packages: openssl-1.0.1k-1.82.amzn1.x86_64.rpm | 1.6 MB 00:00 Running transaction check Running transaction test Transaction test succeeded Running transaction 更新します : 1:openssl-1.0.1k-1.82.amzn1.x86_64 1/2 整理中 : 1:openssl-1.0.1i-1.78.amzn1.x86_64 2/2 検証中 : 1:openssl-1.0.1k-1.82.amzn1.x86_64 1/2 検証中 : 1:openssl-1.0.1i-1.78.amzn1.x86_64 2/2 更新: openssl.x86_64 1:1.0.1k-1.82.amzn1 完了しました!
一応更新後のバージョンを確認します。
$ rpm -qa | grep openssl openssl-1.0.1k-1.82.amzn1.x86_64
更新後のサーバの再起動は不要です。
ただし、長らくOpenSSLを更新していない場合は、glibcなど共有ライブラリの更新も一緒に行われる場合があります。
共有ライブラリの更新も行われた場合はサーバの再起動が必要です。