LoginSignup
0
1

More than 5 years have passed since last update.

@okamos

OpenSSLの脆弱性,Heartbleed概要と対処

Posted at

OpenSSLの脆弱性,Heartbleed概要と対処

  • 対象者:Webサービス開発者など
  • 終着点:セキュリティの脆弱性を解消する

概要

脆弱性があるOpenSSL対象バージョン1.0.1-1.0.1fです。
この脆弱性によりSSLで通信しているコンピュータのメモリが見えちゃいます。

対象となるOSについて

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

対処方法

適宜sudoしてください。
まずは現在のバージョンを確認します。

$ openssl version

ここで表示される内容が上記の脆弱性のあるバージョンならアップデートします。

$ yum update openssl  # CentOS
$ aptitude update openssl # Ubuntu, Debian
$ brew update openssl # Mac OS

アップデート後にバージョンの確認やらパッチの内容など参照してみてください。
SSLの証明書が傍受されている場合があるので再発行して現在のものはrevokeしましょう。
この部分は方法・手順が多岐に渡るかと思うので、自身で調べて下さい。
今回の脆弱性を受けて再発行を無償で行っている期間もあるとか。

最後にサーバを再起動します。(apacheです,nginxなどは適宜対応してください。)

$ service httpd restart # CentOS
$ /etc/init.d/apache2 restart # Ubuntu, Debian
$ apachectl restart # Mac

クライアントとしての対処

後述するテストサイトを使いWebサービスがこの脆弱性から回復しているか確認します。
回復していればパスワードを変更します。
念のため脆弱性の回復に関わらずパスワードを変更しておくとなお安心かと思います。

最後に

脆弱性が回復されたかは以下のサイトを見て下さい。

Heartbleed test - 脆弱性を確認されるため自己責任で利用してください。

以下、関連リンク

The Heartbleed Bug - バグの全貌(英語)
クロストラスト - クロストラスト(Heartbleed サーバ証明書の再発行について)
Debian.org - Debian(英語)
Ubuntu - Ubuntu(英語)
Red Hat - Red Hat(英語)

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1