CentOS
Yum
openssl
heartbleed

OpenSSL脆弱性、Heartbleedの対処方法(CVE-2014-0160)

More than 3 years have passed since last update.


概要

バグの詳細については各所の記事を参照して下さい。


http://heartbleed.com/

http://d.hatena.ne.jp/nekoruri/20140408/heartbleed

http://jvn.jp/vu/JVNVU94401838/

http://gigazine.net/news/20140408-heartbleed-bug/

http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/

opensslのバージョン確認とアップデート

http://qiita.com/aki/items/88f82038c5a205682023



実際のアップデート

CentOS6.5でアップデートを行ってみました。


# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

まずはバージョンを確認したところ、1.0.1eでしたので脆弱性のバージョンです。


# yum list updates
...中略...
# yum update openssl
Loaded plugins: fastestmirror, refresh-packagekit, security
Loading mirror speeds from cached hostfile
* base: mirror.fairway.ne.jp
* epel: ftp.riken.jp
* extras: mirror.fairway.ne.jp
* rpmforge: ftp.riken.jp
* updates: ftp.riken.jp
Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated
--> Processing Dependency: openssl = 1.0.1e-16.el6_5.4 for package: openssl-devel-1.0.1e-16.el6_5.4.x86_64
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.7 will be an update
--> Running transaction check
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.4 will be updated
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.7 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

====================================================================================================================
Package Arch Version Repository Size
====================================================================================================================
Updating:
openssl x86_64 1.0.1e-16.el6_5.7 updates 1.5 M
Updating for dependencies:
openssl-devel x86_64 1.0.1e-16.el6_5.7 updates 1.2 M

Transaction Summary
====================================================================================================================
Upgrade 2 Package(s)

Total download size: 2.7 M
Is this ok [y/N]: y
Downloading Packages:
(1/2): openssl-1.0.1e-16.el6_5.7.x86_64.rpm | 1.5 MB 00:00
(2/2): openssl-devel-1.0.1e-16.el6_5.7.x86_64.rpm | 1.2 MB 00:00
--------------------------------------------------------------------------------------------------------------------
Total 3.8 MB/s | 2.7 MB 00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : openssl-1.0.1e-16.el6_5.7.x86_64 1/4
Updating : openssl-devel-1.0.1e-16.el6_5.7.x86_64 2/4
Cleanup : openssl-devel-1.0.1e-16.el6_5.4.x86_64 3/4
Cleanup : openssl-1.0.1e-16.el6_5.4.x86_64 4/4
Verifying : openssl-1.0.1e-16.el6_5.7.x86_64 1/4
Verifying : openssl-devel-1.0.1e-16.el6_5.7.x86_64 2/4
Verifying : openssl-1.0.1e-16.el6_5.4.x86_64 3/4
Verifying : openssl-devel-1.0.1e-16.el6_5.4.x86_64 4/4

Updated:
openssl.x86_64 0:1.0.1e-16.el6_5.7

Dependency Updated:
openssl-devel.x86_64 0:1.0.1e-16.el6_5.7

Complete!

バージョンを確認してみましょう。


# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

まだ1.0.1eのままですが、適応されたバージョンのchengelogを確認すると


Changes in packages about to be updated:

ChangeLog for: openssl-1.0.1e-16.el6_5.7.x86_64, openssl-devel-1.0.1e-16.el6_5.7.x86_64
* Mon Apr 7 21:00:00 2014 Tomáš Mráz 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension

とあるので、バージョンは変わってないけど、パッチは当たっている状態かと思われます。


# service httpd restart

最後にApacheの再起動を行なって反映されます。


修正されたか確認

脆弱性があるか確認出来るサイトがあるので確認してみましょう。

http://filippo.io/Heartbleed/


余談

Twitterなどのタイムラインでかなり話題となっていますね。

きっと世界中の技術者が対応に追われているんでしょう。

そんな中、上手いなーっと思ったので紹介します。

無課金でも回しちゃダメだよwww