CVE-2014-0160 OpenSSL Heartbleed 脆弱性 について

米国時間 4/7 の午後、非常に深刻なバグが OpenSSL にみつかり、公表されました。
バグの詳細は、以下の URL に詳しく載っています。

• Heartbleed Bug
• OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 | TechCrunch Japan
• CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ – めもおきば

このバグを利用することで SSL で通信している相手のメモリを閲覧することができるため、HTTPS サーバの SSL 証明書の秘密鍵を取得されたり、ウェブアプリ内のすべての情報を見られる可能性があります。
これに対処するには、以下の作業を行う必要があります。

1. 使用している OpenSSL のバージョンが 1.0.1 〜 1.0.1f の場合は対処されたバージョン ( 1.0.1g 以降 )にアップデートする。
   # openssl のバージョンは openssl version で確認できます。
2. OpenSSL アップデート後は、このライブラリを使っているサービス、もしくはサーバ自体を再起動する。
3. SSL 証明書でサーバを公開している場合は、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる。
   # このバグによってメモリ内容が閲覧された場合、ログにはなにも痕跡が残らないため SSL 証明書の秘密鍵がすでに漏洩しているのか確認できないため

網元 AMI が採用している OS Amazon Linux, RedHat Linux Enterprise, CentOS でもすでに対応したパッケージが yum によって配布されています。
これらはバージョン番号は変わらずパッケージ名が変わっているため、yum info openssl、rpm -q openssl などでパッケージ番号を調べ、該当する番号ではない場合は即時アップデートしてサーバを再起動してください。

パッケージ番号の確認方法

$ yum info openssl
インストール済みパッケージ
名前                : openssl
アーキテクチャー    : x86_64
エポック            : 1
バージョン          : 1.0.1e
リリース            : 37.66.amzn1
容量                : 4.0 M
リポジトリー        : installed
提供元リポジトリー  : amzn-updates
要約                : Utilities from the general purpose cryptography library with TLS implementation
URL                 : http://www.openssl.org/
ライセンス          : OpenSSL
説明                : The OpenSSL toolkit provides support for secure communications between
                    : machines. OpenSSL includes a certificate management tool and shared
                    : libraries which provide various cryptographic algorithms and
                    : protocols.
$ rpm -q openssl
openssl-1.0.1e-37.66.amzn1.x86_64

Amazon Linux の場合、パッケージ番号が 37.66.amzn1 であれば対応済みのパッケージがインストールされています。
そのほかのディストリビューションについては、以下の通りです。

• Amazon Linux openssl-1.0.1e-37.66.amzn1.x86_64 で対応
• RHEL 6.5 openssl-1.0.1e-16.el6_5.7.x86_64 で修正
• CentOS 6.5 openssl-1.0.1e-16.el6_5.7.x86_64 で修正

網元 AMI で OpenSSL をアップデートするには、以下の作業を行ってください。

$ sudo yum update -y openssl
　:
 (略)
　:
更新:
  audit.x86_64 0:2.3.2-3.19.amzn1  openssl.x86_64 1:1.0.1e-37.66.amzn1                                                  

依存性を更新しました:
  audit-libs.x86_64 0:2.3.2-3.19.amzn1  glibc.x86_64 0:2.17-36.81.amzn1  glibc-common.x86_64 0:2.17-36.81.amzn1                    

完了しました!

openssl アップデート後は sudo shutdown -r now でサーバを再起動してください。

なお、網元マネージドホスティングプランでは、すでにこの件については対応済みです。
網元マネージドホスティングプランをご利用されているお客様については、ご安心ください。