月別アーカイブ: 2014年4月




話題のOpenSSL Heartbleed 脆弱性の件で、確認すべきこと!対応すべき事!




投稿日:

現在、OpenSSLのHeartbleedの脆弱性が騒がれていますが、何を確認してどう対応するべきなのか? やってみたことをまとめました。不足な部分があれば、ご指摘貰えればと思います。

やることは、シンプルに2つです。


1, 確認 →OpenSSLのバージョンは今回の対象かどうか?
2, 対応 →対象のOpenSSLのバージョンであればアップデートし、SSL証明書を再発行する。

1, 確認

確認を実施し、OpenSSL 1.0.1-1.0.1f(もしくはOpenSSL1.0.2-beta)を利用の場合のみ対応が必要になります。

■ ターミナルでコマンド確認する場合

[html]$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013[/html]

この結果は対象ですね。

■ チェックツールを使う場合

https://sslcheck.globalsign.com/ja 

こちらにドメインを入力すると、SSL全般のチェックをしてくれます。今回の脆弱性も検出されます。

2, 対応

対象のバージョンである場合にはアップデートをして、SSL証明書を発行し直して入れ替えます。

※ なぜこのバージョンだけが対象かというと、このバージョンからHeartbeatsの機能が追加されており、この機能に関する脆弱性が問題となっているからです。よって、古いバージョンについては、そもそも対象にはなりません。そのバージョンで最新になっていればまずは大丈夫です。

■ OpenSSLのアップデートをする。

対象のバージョンであれば、各パッケージで最新版が出ていますのでそれにアップデートします。

それぞれのOSでの対応は、こちらの一覧が参考になりました。
http://d.hatena.ne.jp/nekoruri/20140408/heartbleed

また、Amazon linuxの場合はこんな感じです。
https://aws.amazon.com/jp/amazon-linux-ami/security-bulletins/ALAS-2014-320/

手元にあったAmazon linuxでアップデートしてみます。

確認
[html]$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013[/html]

該当していますね。
yum update しましょう。
[html]$ sudo yum update openssl
※ 省略

======================================================================================================================================================================================================================
Package アーキテクチャー バージョン リポジトリー 容量
======================================================================================================================================================================================================================
更新します:
audit x86_64 2.3.2-3.19.amzn1 amzn-main 258 k
openssl x86_64 1:1.0.1e-37.66.amzn1 amzn-updates 1.7 M
依存性関連での更新をします:
audit-libs x86_64 2.3.2-3.19.amzn1 amzn-main 87 k
glibc x86_64 2.17-36.81.amzn1 amzn-updates 5.6 M
glibc-common x86_64 2.17-36.81.amzn1 amzn-updates 28 M
glibc-devel x86_64 2.17-36.81.amzn1 amzn-updates 1.1 M
glibc-headers x86_64 2.17-36.81.amzn1 amzn-updates 718 k
openssl-devel x86_64 1:1.0.1e-37.66.amzn1 amzn-updates 1.3 M

トランザクションの要約
======================================================================================================================================================================================================================
更新 2 パッケージ (+6 個の依存関係のパッケージ)
[/html]

1:1.0.1e-37.66.amzn1 が利用できますね。これは脆弱性対応バージョンだそうなのでこれをインストールします。

その後、Apacheなどのwebサーバでrestartをかけて反映完了です。
アプリケーションによっては影響があるものもあります。しっかりと事前に検証しておくことが大事です。

最後にもう一度確認

[html]$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013[/html]

お、一緒なんですね。

[html]# rpm -qa | grep openssl
openssl-devel-1.0.1e-37.66.amzn1.x86_64
openssl098e-0.9.8e-17.8.amzn1.x86_64
openssl-1.0.1e-37.66.amzn1.x86_64[/html]

でも入っていますね。大丈夫そう。

■ SSL証明書を入れ直しします。

SSL証明書を再発行して入れ直します。理由としては、脆弱性により秘密鍵が漏洩している恐れがあるためです。今回の脆弱生は対応しておいた方が良いでしょう。

[amazonjs asin=”4274065731″ locale=”JP” title=”OpenSSL―暗号・PKI・SSL/TLSライブラリの詳細―”]