2014年 主要脆弱性 - Heartbleed, Shellshock, POODLE - への対策

Heartbleed

• OpenSSLのバグ
• https://www.openssl.org/news/secadv_20140407.txt

対策

OpenSSLをアップデート（1.0.1gへ）するか、OpenSSLをオプション-DOPENSSL_NO_HEARTBEATS付きでリコンパイルする

• Ubuntu 14.04ではopenssl version -aの結果1.0.1fと表示されるが、対策はなされており、脆弱ではない

Shellshock

• Bashのバグ
• http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
• http://askubuntu.com/questions/528101/what-is-the-cve-2014-6271-bash-vulnerability-shellshock-and-how-do-i-fix-it

対策

Bashをアップデートする。4.3-7ubuntu1.4, 4.2-2ubuntu2.5, 4.1-2ubuntu3.4 以上で安全。

• Ubuntuの場合 sudo apt-get update && sudo apt-get install bash

POODLE

• SSL3.0のバグ
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566

対策

SSL3.0に対応しないようにする

• Nginxの場合 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
• Apache httpd + mod_ssl の場合 SSLProtocol All -SSLv2 -SSLv3
• AWS ELBの場合 ELBSecurityPolicy-2014-10を使用