OpenSSL(Heartbleed 脆弱性) CentOS6で対策済みバージョンへアップデート( 1.0.1e-16.el6_5.7 )

管理してるサーバーでOpenSSL(Heartbleed 脆弱性) 影響があるかチェックしてみます。


OpenSSLの脆弱性Heartbleedとは?

Heartbleedのバグは、インターネット上の誰もがOpenSSLソフトウェアの脆弱なバージョンで保護されているシステムのメモリを読み取ることができます。これは、サービスプロバイダを識別するために、トラフィックを暗号化するために使用される秘密鍵、ユーザ名とパスワードと実際の内容を損なう。これは、攻撃者が、通信を盗聴サービスとユーザーから直接データを盗み、サービスとユーザーを偽装することができます。

The Heartbleed Bugより

heartbleed

影響を受けるOpenSSLバージョン

  • OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
  • OpenSSL 1.0.1g is NOT vulnerable
  • OpenSSL 1.0.0 branch is NOT vulnerable
  • OpenSSL 0.9.8 branch is NOT vulnerable

適当なサーバーで見てみたら、CentOSのバージョンによっては対象より低いバージョンでした。

[000@12345 ~]$ rpm -qa | grep openssl
openssl-devel-1.0.0-25.el6_3.1.x86_64
openssl-1.0.0-25.el6_3.1.x86_64

ですがupdatesレポジトリーに修正版の「1.0.1e-16.el6_5.7」がアップされているので、適応しておきます。

====================================================================================================================================================================
 Package                                  Arch                              Version                                        Repository                          Size
====================================================================================================================================================================
Updating:
 openssl                                  x86_64                            1.0.1e-16.el6_5.7                              updates                            1.5 M
Updating for dependencies:
 openssl-devel                            x86_64                            1.0.1e-16.el6_5.7                              updates                            1.2 M

Transaction Summary
====================================================================================================================================================================
Upgrade       2 Package(s)

OpenSSL Heartbleedの対策

修正バージョンへOpenSSLをアップデートして、OpenSSLライブラリ使ってるサービスを再起動!
特定できなければ、OS再起動しましょう。

Red Hatのエラータより

OpenSSLは、セキュア·ソケット·レイヤー(SSLのV2/V3 )を実装するツールキットです
トランスポート層セキュリティ(TLS v1)プロトコルだけでなく、
フル強度、汎用暗号化ライブラリ。

情報開示の欠陥がOpenSSLはTLSを取り扱い、見つかりました
DTLSハート拡張パケット。悪質なTLSまたはDTLSクライアントまたはサーバ
開示することが特別に細工されたTLSまたはDTLSハートビートパケットを送信することができます
接続されたクライアントまたはサーバからの要求あたりのメモリの限られた部分。
メモリの開示された部分は、潜在的に含まれる可能性があることに注意してください
秘密鍵などの重要な情報。 (CVE-2014 – 0160 )

Red Hatはこの問題の報告ためにOpenSSLプロジェクトに感謝したいと思います。
アップストリームは、元のようにGoogleのセキュリティのネールメータを認める
記者。

すべてのOpenSSLのユーザは、これらのアップデートパッケージにアップグレードしてくださいいる
この問題を修正するバックポートパッチを含む。更新が反映するために
効果、などのhttpdやその他などのOpenSSLライブラリにリンクされているすべてのサービス(
SSL対応のサービス)を再起動しなければならないか、システムをリブート。


Red Hatのエラータ情報はコチラhttps://rhn.redhat.com/errata/RHSA-2014-0376.html


New Posts
CordovaアプリのGooglePlay向けリリース準備

cordova-splash --config=config.xml --splash=splash-screen.png cordova-icon --icon=ic_launcher-web.png cordova build android --release jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore {KeyStoeFilePath} platforms/android/build/outputs/apk/{ApkFileName}  {KeyStoreAliasName}  zipalign -f -v 4 platforms/android/build/outputs/apk/{ApkFi

「Symantec Website Securityからの重要なお知らせ」のアンケート

Google社の提案は、お客様のビジネスに対して、全般的にどのような影響をもたらすとお考えになりますか?   って直球!!

zipalignのパス

AndroidSDKのbuild-toolsにある。 <code> yuta$ ls  ~/Library/android-sdk-macosx/build-tools/ 24.0.0/ 24.0.1/ 24.0.2/ 24.0.3/ yuta$ ~/Library/android-sdk-macosx/build-tools/24.0.3/ aapt                      arm-linux-androideabi-ld  lib/                      renderscript/ aapt2                     bcc_compat                lib64/                   

Peggy・無料のPeggy Padの開発・公開が終了していた・・ けどダウンロードリンク見つけた!

パソコンを久しぶりにセットアップしていて、エディターはSublimeとPeggyをインストールしようとしたらPeggyの販売元のアンカーシステム(今は株式会社エスコアハーツなのかな?)のHPに「ソフトウェア事業縮小のお知らせ」が・・・ ライセンスは購入していましたが、メールでシリアルコードが届くだけなので、ダウンロードリンクがなくなるとインストールもできません。。。 しかたないので、さくらエディターのカラーコードをそれっぽくしたりしたけどどうも合わないので、NASとかレンサバのディスク探したけどどうしてもPeggyのインストーラーは見つからないので、諦めようかと思っていたら。。 Peggyがまだダウンロードできた!! Peggyの公式ページの日

インプレス(impress.co.jp)を見てたらSSIエラー > an error occurred while processing this directive

広告とかの部分ミスッた?


Share Link

Web Contents & Apps


Tags


Posts


Category