OpenSSLに脆弱性が見つかりました。更新しましょう。CVE-2015-0291ほか

記事タイトルとURLをコピーする

OpenSSLに新たに脆弱性が見つかっております。
過去のものも含めて内容と対策が発表されておりますのでご紹介します。

 

 

OpenSSLの脆弱性の紹介

元ネタはこちらです。

OpenSSLはLinuxには標準と言って良いくらい当たり前に導入されています。
Windowsでは標準では導入されていませんがOpenSSLを利用するアプリケーションと共に導入されている場合があります。

 

OpenSSL 1.0.2 ClientHello sigalgs DoS

CVE-2015-0291
重要度:高
内容:OpenSSL1.0.2が導入されているサーバに接続する際に署名アルゴリズムの不具合を突いて、サーバに対するDoS攻撃に利用することができる
対策:OpenSSL1.0.2を導入している場合は、1.0.2aに更新する

 

「 FREAK」の重要度は「高」になりました

CVE-2015-0204
重要度:低→高
内容:クライアントがRSA輸出グレード暗号鍵を要求していない場合でもOpenSSLクライアントにこの鍵を受け入れさせることができる。これにより暗号強度が弱いサーバとクライアント間の通信を行なっているところの解読を試みることができる
対策:OpenSSLが1.0.1の場合、1.0.1kに更新する
   OpenSSLが1.0.0の場合、1.0.0pに更新する
   OpenSSLが0.9.8の場合、0.9.8zdに更新する

 

Multiblock corrupted pointer

CVE-2015-0290
重要度:中
内容:マルチブロックの実装の不具合により、この不具合を突いてサーバに対するDoS攻撃に利用することができる
対策:OpenSSL1.0.2を導入している場合は、1.0.2aに更新する

他にCVE-2015-0207、CVE-2015-0286、CVE-2015-0287、CVE-2015-0289など多數上記の元ネタに記載されています。

 

対策

いずれも対策をしましては、「OpenSSLそれぞれ導入されているバージョンの最新のものに更新する」です。

Amazon Linuxの対策方法はこちらにあります。
1.0.1k-1.82に更新しなさいとあります。

Red Hat Enterprise Linux 5もしくは6については、こちらにredhat様の案内があります。

 

具体的な対策

Amazon Linux、Red Hat Enterprise LinuxのいずれもyumでOpenSSLを更新します。
具体的な方法を下記に示します。
例としまして、検証を行なった後、停止状態で放置していたAmazon LinuxのEC2インスタンスを使います。

OpenSSLのバージョンを確認します。

$ rpm -qa | grep openssl
openssl-1.0.1i-1.78.amzn1.x86_64

 

OpenSSLを更新します。

$ sudo yum update openssl
読み込んだプラグイン:priorities, update-motd, upgrade-helper
Repodata is over 2 weeks old. Install yum-cron? Or run: yum makecache fast
amzn-main/latest                                                                                                                               | 2.1 kB     00:00
amzn-updates/latest                                                                                                                            | 2.3 kB     00:00
amzn-updates/latest/updateinfo                                                                                                                 | 213 kB     00:00
amzn-updates/latest/primary_db                                                                                                                 | 821 kB     00:00
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ openssl.x86_64 1:1.0.1i-1.78.amzn1 を 更新
---> パッケージ openssl.x86_64 1:1.0.1k-1.82.amzn1 を アップデート
--> 依存性解決を終了しました。

依存性を解決しました

======================================================================================================================================================================
 Package                            アーキテクチャー                  バージョン                                        リポジトリー                             容量
======================================================================================================================================================================
更新します:
 openssl                            x86_64                            1:1.0.1k-1.82.amzn1                               amzn-updates                            1.6 M

トランザクションの要約
======================================================================================================================================================================
更新  1 パッケージ

総ダウンロード容量: 1.6 M
Is this ok [y/d/N]: y
Downloading packages:
openssl-1.0.1k-1.82.amzn1.x86_64.rpm                                                                                                           | 1.6 MB     00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  更新します              : 1:openssl-1.0.1k-1.82.amzn1.x86_64                                                                                                    1/2
  整理中                  : 1:openssl-1.0.1i-1.78.amzn1.x86_64                                                                                                    2/2
  検証中                  : 1:openssl-1.0.1k-1.82.amzn1.x86_64                                                                                                    1/2
  検証中                  : 1:openssl-1.0.1i-1.78.amzn1.x86_64                                                                                                    2/2

更新:
  openssl.x86_64 1:1.0.1k-1.82.amzn1

完了しました!

 

一応更新後のバージョンを確認します。

$ rpm -qa | grep openssl
openssl-1.0.1k-1.82.amzn1.x86_64

 

更新後のサーバの再起動は不要です。
ただし、長らくOpenSSLを更新していない場合は、glibcなど共有ライブラリの更新も一緒に行われる場合があります。
共有ライブラリの更新も行われた場合はサーバの再起動が必要です。