カレンダー

11 | 2016/12 | 01
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

広告



最近の記事

カテゴリー

DATE: CATEGORY:TECH


Opensslの脆弱性問題が話題になってます。
とはいえ、大抵のサイトはもう対策済みかと思いますが、
簡単に対処と確認方法のメモ。

Photo:Computer Security By:IntelFreePress
Photo:Computer Security By IntelFreePress

内容


対象は、OpenSSL 1.0.1から1.0.1f、OpenSSL 1.0.2-betaから1.0.2-beta1
この脆弱性、メモリ内容を読み取れてしまうので、場合によってはSSLの
秘密鍵のデータまで取得出来てしまうという重大なバグで、緊急度高い
脆弱性が発生しています。

暗号化プログラム「OpenSSL」に、非常に危険な脆弱性……heartbeat拡張
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される

対策手順


基本は、既に各種OSでリポジトリに反映されているので、
yum等でopensslを管理している場合は、yumアップデートで
対応可能な状況です。

# yumキャッシュクリア
$ sudo yum clean all

# opensslアップデート
$ sudo yum update openssl

これで終わり。

確認方法


これで完了しているはずですが、確認で少しはまりました。

# openssl バージョン確認
$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

上記で確認をしたけど、結果表示されるのは1.0.1eでダメじゃん!
って思ったんですが、以下のコマンドでちゃんと調べると、
対応版になっています。

# Changelogを確認
$ rpm -q --changelog openssl | head -n 3
* 月 4月 07 2014 Toma? Mraz 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension

本来はさらに対策


まぁ、個人サイトレベルであれば、これで完了!
で良い気がしますが、今回の脆弱性は秘密鍵を抜き取られる
リスクのある脆弱性、且つ、抜き取られた事が分からない。という物。

というわけで、ECサイト等の重要なサイトの場合は、これに加えて、
サーバ証明書も新しい秘密鍵で更新して、古い秘密鍵はリボーク
しておくベキかと思われます。

Comment

コメントの投稿

管理者にだけ表示を許可する


トラックバック


この記事にトラックバックする



copyright © なんとなしの日記 all rights reserved.
内職☆在宅ワークの最強は?アフィリエイト!. 初心者だってカッコ良いホームページ作るぅ!
Powered by FC2ブログ
Related Posts Plugin for WordPress, Blogger...