2014年6月11日水曜日

OpenSSL に発見されたChange Cipher Specの脆弱性を修正する。

脆弱性に関する概要と状況の確認

まず始めにこちら。 IPA「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について


現在、インストールされているバージョンを確認します。

環境は、CentOS6.4となります。

[root@hostname ~]# openssl version
OpenSSL 1.0.1g 7 Apr 2014

前回のHeart Bleed脆弱性問題に対応したので、バージョンがOpenSSL 1.0.1gであることが確認できます。
今回は、このOpenSSL 1.0.1gにも脆弱性が確認されたとの事です。


( ´ー`)フゥー...

yumでパッチ適用済みのアップデートを利用する

既にパッチ適用済みのアップデートが、yumのアップデートで利用出来るようなので、こちらを利用させて頂きました。
【参考】 RedHat Important: openssl security update

[root@hostname ~]# yum check-update openssl
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: www.ftp.ne.jp
 * extras: www.ftp.ne.jp
 * updates: www.ftp.ne.jp

openssl.x86_64                     1.0.1e-16.el6_5.14                                              updates

脆弱性に対応済みの1.0.1e-16.el6_5.14となっていますね。
このままアップデートを実行します。

[root@hostname ~]# yum update openssl
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: www.ftp.ne.jp
 * epel: ftp.jaist.ac.jp
 * extras: www.ftp.ne.jp
 * updates: www.ftp.ne.jp
Setting up Update Process
Resolving Dependencies

  ~中略~

Updated:
  openssl.x86_64 0:1.0.1e-16.el6_5.14

Dependency Updated:
  openssl-devel.x86_64 0:1.0.1e-16.el6_5.14

Complete!

アップデートが完了したら、更新されたバージョンを確認して下さい。

[root@hostname ~]# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

[root@tnxnet ~]# rpm -qa openssl*
openssl-1.0.1e-16.el6_5.14.x86_64
openssl-devel-1.0.1e-16.el6_5.14.x86_64


最後に、必ずOpenSSLを利用しているサービス またはサーバーを再起動して下さい。
お疲れ様でした。 ⊂⌒(。・ω・)っ お役に立てたら嬉しいです。