OpenSSL(Heartbleed 脆弱性) CentOS6で対策済みバージョンへアップデート( 1.0.1e-16.el6_5.7 )

管理してるサーバーでOpenSSL(Heartbleed 脆弱性) 影響があるかチェックしてみます。


OpenSSLの脆弱性Heartbleedとは?

Heartbleedのバグは、インターネット上の誰もがOpenSSLソフトウェアの脆弱なバージョンで保護されているシステムのメモリを読み取ることができます。これは、サービスプロバイダを識別するために、トラフィックを暗号化するために使用される秘密鍵、ユーザ名とパスワードと実際の内容を損なう。これは、攻撃者が、通信を盗聴サービスとユーザーから直接データを盗み、サービスとユーザーを偽装することができます。

The Heartbleed Bugより

heartbleed

影響を受けるOpenSSLバージョン

  • OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
  • OpenSSL 1.0.1g is NOT vulnerable
  • OpenSSL 1.0.0 branch is NOT vulnerable
  • OpenSSL 0.9.8 branch is NOT vulnerable

適当なサーバーで見てみたら、CentOSのバージョンによっては対象より低いバージョンでした。

[000@12345 ~]$ rpm -qa | grep openssl
openssl-devel-1.0.0-25.el6_3.1.x86_64
openssl-1.0.0-25.el6_3.1.x86_64

ですがupdatesレポジトリーに修正版の「1.0.1e-16.el6_5.7」がアップされているので、適応しておきます。

====================================================================================================================================================================
 Package                                  Arch                              Version                                        Repository                          Size
====================================================================================================================================================================
Updating:
 openssl                                  x86_64                            1.0.1e-16.el6_5.7                              updates                            1.5 M
Updating for dependencies:
 openssl-devel                            x86_64                            1.0.1e-16.el6_5.7                              updates                            1.2 M

Transaction Summary
====================================================================================================================================================================
Upgrade       2 Package(s)

OpenSSL Heartbleedの対策

修正バージョンへOpenSSLをアップデートして、OpenSSLライブラリ使ってるサービスを再起動!
特定できなければ、OS再起動しましょう。

Red Hatのエラータより

OpenSSLは、セキュア·ソケット·レイヤー(SSLのV2/V3 )を実装するツールキットです
トランスポート層セキュリティ(TLS v1)プロトコルだけでなく、
フル強度、汎用暗号化ライブラリ。

情報開示の欠陥がOpenSSLはTLSを取り扱い、見つかりました
DTLSハート拡張パケット。悪質なTLSまたはDTLSクライアントまたはサーバ
開示することが特別に細工されたTLSまたはDTLSハートビートパケットを送信することができます
接続されたクライアントまたはサーバからの要求あたりのメモリの限られた部分。
メモリの開示された部分は、潜在的に含まれる可能性があることに注意してください
秘密鍵などの重要な情報。 (CVE-2014 – 0160 )

Red Hatはこの問題の報告ためにOpenSSLプロジェクトに感謝したいと思います。
アップストリームは、元のようにGoogleのセキュリティのネールメータを認める
記者。

すべてのOpenSSLのユーザは、これらのアップデートパッケージにアップグレードしてくださいいる
この問題を修正するバックポートパッチを含む。更新が反映するために
効果、などのhttpdやその他などのOpenSSLライブラリにリンクされているすべてのサービス(
SSL対応のサービス)を再起動しなければならないか、システムをリブート。


Red Hatのエラータ情報はコチラhttps://rhn.redhat.com/errata/RHSA-2014-0376.html