米国時間 4/7 の午後、非常に深刻なバグが OpenSSL にみつかり、公表されました。
バグの詳細は、以下の URL に詳しく載っています。
- Heartbleed Bug
- OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 | TechCrunch Japan
- CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ – めもおきば
このバグを利用することで SSL で通信している相手のメモリを閲覧することができるため、HTTPS サーバの SSL 証明書の秘密鍵を取得されたり、ウェブアプリ内のすべての情報を見られる可能性があります。
これに対処するには、以下の作業を行う必要があります。
- 使用している OpenSSL のバージョンが 1.0.1 〜 1.0.1f の場合は対処されたバージョン ( 1.0.1g 以降 )にアップデートする。
# openssl のバージョンはopenssl version
で確認できます。 - OpenSSL アップデート後は、このライブラリを使っているサービス、もしくはサーバ自体を再起動する。
- SSL 証明書でサーバを公開している場合は、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる。
# このバグによってメモリ内容が閲覧された場合、ログにはなにも痕跡が残らないため SSL 証明書の秘密鍵がすでに漏洩しているのか確認できないため
網元 AMI が採用している OS Amazon Linux, RedHat Linux Enterprise, CentOS でもすでに対応したパッケージが yum によって配布されています。
これらはバージョン番号は変わらずパッケージ名が変わっているため、yum info openssl
、rpm -q openssl
などでパッケージ番号を調べ、該当する番号ではない場合は即時アップデートしてサーバを再起動してください。
パッケージ番号の確認方法
$ yum info openssl
インストール済みパッケージ
名前 : openssl
アーキテクチャー : x86_64
エポック : 1
バージョン : 1.0.1e
リリース : 37.66.amzn1
容量 : 4.0 M
リポジトリー : installed
提供元リポジトリー : amzn-updates
要約 : Utilities from the general purpose cryptography library with TLS implementation
URL : http://www.openssl.org/
ライセンス : OpenSSL
説明 : The OpenSSL toolkit provides support for secure communications between
: machines. OpenSSL includes a certificate management tool and shared
: libraries which provide various cryptographic algorithms and
: protocols.
$ rpm -q openssl
openssl-1.0.1e-37.66.amzn1.x86_64
Amazon Linux の場合、パッケージ番号が 37.66.amzn1
であれば対応済みのパッケージがインストールされています。
そのほかのディストリビューションについては、以下の通りです。
- Amazon Linux openssl-1.0.1e-37.66.amzn1.x86_64 で対応
- RHEL 6.5 openssl-1.0.1e-16.el6_5.7.x86_64 で修正
- CentOS 6.5 openssl-1.0.1e-16.el6_5.7.x86_64 で修正
網元 AMI で OpenSSL をアップデートするには、以下の作業を行ってください。
$ sudo yum update -y openssl
:
(略)
:
更新:
audit.x86_64 0:2.3.2-3.19.amzn1 openssl.x86_64 1:1.0.1e-37.66.amzn1
依存性を更新しました:
audit-libs.x86_64 0:2.3.2-3.19.amzn1 glibc.x86_64 0:2.17-36.81.amzn1 glibc-common.x86_64 0:2.17-36.81.amzn1
完了しました!
openssl アップデート後は sudo shutdown -r now
でサーバを再起動してください。
なお、網元マネージドホスティングプランでは、すでにこの件については対応済みです。
網元マネージドホスティングプランをご利用されているお客様については、ご安心ください。