OpenSSLの脆弱性,Heartbleed概要と対処
-
対象者
:Webサービス開発者など -
終着点
:セキュリティの脆弱性を解消する
概要
脆弱性があるOpenSSL
の対象バージョン
は1.0.1
-1.0.1f
です。
この脆弱性によりSSLで通信しているコンピュータのメモリが見えちゃいます。
対象となるOSについて
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
- FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
対処方法
適宜sudo
してください。
まずは現在のバージョンを確認します。
$ openssl version
ここで表示される内容が上記の脆弱性のあるバージョンならアップデートします。
$ yum update openssl # CentOS
$ aptitude update openssl # Ubuntu, Debian
$ brew update openssl # Mac OS
アップデート後にバージョンの確認やらパッチの内容など参照してみてください。
SSLの証明書が傍受されている場合があるので再発行して現在のものはrevoke
しましょう。
この部分は方法・手順が多岐に渡るかと思うので、自身で調べて下さい。
今回の脆弱性を受けて再発行を無償で行っている期間もあるとか。
最後にサーバを再起動します。(apacheです,nginxなどは適宜対応してください。)
$ service httpd restart # CentOS
$ /etc/init.d/apache2 restart # Ubuntu, Debian
$ apachectl restart # Mac
クライアントとしての対処
後述するテストサイトを使いWebサービスがこの脆弱性から回復しているか確認します。
回復していればパスワードを変更します。
念のため脆弱性の回復に関わらずパスワードを変更しておくとなお安心かと思います。
最後に
脆弱性が回復されたかは以下のサイトを見て下さい。
Heartbleed test - 脆弱性を確認されるため自己責任で利用してください。
以下、関連リンク
The Heartbleed Bug - バグの全貌(英語)
クロストラスト - クロストラスト(Heartbleed サーバ証明書の再発行について)
Debian.org - Debian(英語)
Ubuntu - Ubuntu(英語)
Red Hat - Red Hat(英語)