近年、HeartBleedしかりOpensslの脆弱性情報が目立つ。
今後も起こり得るであろうOpensslの脆弱性に備え、最新のVersionに変更する手順を記す。
脆弱性情報入手
https://www.jpcert.or.jp/
RSSリーダーなどでjpcertをチェックすると良い。
https://www.jpcert.or.jp/at/2016/at160010.html
にOpensslの脆弱性情報が記載されている。
opensslに特化したニュースの場合は
https://www.openssl.org/news/
にて最速で通知されるが、jpcertの場合はopensslに限らず他の脆弱性情報も日本語で周知してくれるので、
実際にはjpcertのみをウォッチしている会社も多いと思う。
jpcertにはこのように記載がある。
以下のバージョンが脆弱性の影響を受けます。
- OpenSSL 1.0.1r およびそれ以前の 1.0.1 系列
- OpenSSL 1.0.2f およびそれ以前の 1.0.2 系列
該当のopensslを使っていた場合、openssl-1.0.1r以降にVersion UPしなければならない。
前提
Openssl 1.0.1a から Openssl 1.0.1tへVersion UPするものとする。
複数のVersionが共存できるよう、ソースファイルからインストールする
手順
cd /usr/local/src
wget https://www.openssl.org/source/openssl-1.0.1t.tar.gz
tar zxvf openssl-1.0.1t.tar.gz
cd openssl-1.0.1t
./config
make
make install
インストールしただけではバージョンアップされない(バージョンが変わっていないことを確認)
[root@localhost]# openssl version
OpenSSL 1.0.1a
[root@localhost]#
現行のopensslのパスを確認
[root@localhost openssl-1.0.1t]# which openssl
/usr/bin/openssl
[root@localhost openssl-1.0.1t]#
呼び出し先を変更し、リンクの張り替え
cd /usr/bin/
cp /usr/bin/openssl /usr/bin/openssl.`date +%Y%m%d`
rm -f /usr/bin/openssl
ln -s /usr/local/ssl/bin/openssl
事後確認
[root@localhost]# openssl version
OpenSSL 1.0.1t
[root@localhost]#