OpenSSLで重大な脆弱性が発覚したようです。

OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性

当ブログではSSL使っていないのでおそらく大丈夫だと思いますが、仕事でその対応に追われていました(まだ終わっていません)。

他のブログ等で詳しい解説がされていると思いますので詳しい解説はしませんが、今回行った対応を簡単に紹介したいと思います。

yumでOpenSSLをアップデート

すでにパッチが公開されているのでyumでアップデートします。

# yumキャッシュクリア
$ sudo yum clean all

# opensslアップデート
$ sudo yum update openssl

インストールしたOpenSSLを確認

[2014/04/11 追記] OpenSSLのバージョン確認方法をopenssl versionから、yumのパッケージリストから取得するように変更しました。 [追記終わり]

# openssl バージョン確認
$ yum list installed | grep openssl
openssl.x86_64          1.0.1e-16.el6_5.7
openssl-devel.x86_64    1.0.1e-16.el6_5.7

# Changelogを確認
$ rpm -q --changelog openssl | head -n 3
* 月  4月 07 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension

脆弱性に対応していることがわかります。

各種サービスの再起動

今回はApacheを再起動して新しいバージョンのOpenSSLを有効化させます。

$ sudo service httpd restart

脆弱性を判断する

こちらのサイトでドメインを入力することでそのサイトの脆弱性を判断してくれます。

Test your server for Heartbleed (CVE-2014-0160)

「All good, google.com seems not affected!」と表示されれば大丈夫です。

参考URL

たくさんありますので一部だけ。

• Heartbleed Bug
  • 本家です
• AWS の OpenSSL の Heartbleed Bug 対応が早かった！ ｜ Developers.IO
• AWS - EC2インスタンスのOpenSSLのHartbleed Bug対応 - Qiita
  • EC2インスタンスはすでに脆弱性に対応したリポジトリがあるので助かります。
• opensslのTLS heartbeat read overrun (CVE-2014-0160)を対処した | Ore no homepage
• CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば