はじめに
opensslの脆弱性対応での作業備忘録です。
http://heartbleed.com
オンメモリのデータが漏れるということで、サーバ丸ごと再起動を選択。
ローカルのopensslはバージョンが0.9.8だったので、ノータッチ。
環境
さくらのVPS
http://vps.sakura.ad.jp
opensslの更新
opensslのバージョン確認
configureのオプションを確認のため -a をつけています
$ openssl version -a
$ sudo yum check-update
opensslの更新
(a) パッケージを指定
$ sudo yum update openssl
または
$ sudo yum update openssl-devel
(b) まとめてアップデート
カーネルもアップデートされます
$ sudo yum update
opensslのChangelogをみる
$ sudo rpm -q --changelog openssl | head
* 月 4月 07 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
* 火 1月 07 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.4
- fix CVE-2013-4353 - Invalid TLS handshake crash
* 月 1月 06 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.3
- fix CVE-2013-6450 - possible MiTM attack on DTLS1
* 金 12月 20 2013 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.2
対応しているらしい
opensslを利用しているサービスの再起動
Webサーバなどは再起動が必要になります。
どのパッケージがopensslを利用しているか不明な場合はサーバごと起動する方が良いかも
VPSサーバの再起動
こちらを見ながら
http://support.sakura.ad.jp/manual/vps/mainte/reboot.html
Webサーバの再起動
VPSサーバの再起動を行っていれば不要
$ sudo service nginx restart
脆弱性の確認
参考URL
yumによるパッケージ管理
http://linux.kororo.jp/cont/intro/yum.php
サービスの起動・強制停止・再起動
http://support.sakura.ad.jp/manual/vps/mainte/reboot.html
さいごに
個人的なサーバだから適当に$ sudo yum update
とか、サーバ丸ごと再起動
などやってしまってますが、共有サーバのパッケージアップデートは注意して行ってください。