OpenSSLの重大バグ(CVE-2014-0160)への対応
こんにちは。小宮です。
OpenSSLの重大バグが発見されたという記事をうけまして、
さすがに影響が大きいようなので関連情報を記録しておきます。
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 | TechCrunch Japan
JVNVU#94401838: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
影響範囲はopenssl-1.0.1~1.0.1fということで、まじめに最新にしてるサイトが影響を受けるという皮肉なことに。
でもまあ影響範囲が限定的なのは良かったと思います。
弊社ではCentOS6.5とAmazonLinuxの環境が影響を受けました。
まず以下をご覧ください。
対策方法を記しているサイト:
AWS - EC2インスタンスのOpenSSLのHartbleed Bug対応 - Qiita
opensslのTLS heartbeat read overrun (CVE-2014-0160)を対処した | Ore no homepage
バージョンの確認方法は
rpm -qa|grep openssl
とか
openssl version
という感じで、
CVE-2014-0160をfixしてるパッチがあたってるかどうかは、以下のように確認しました。
rpm -q --changelog openssl |head
* 月 4月 07 2014 Toma? Mraz <tmraz@redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
あたってなければ、yum update opensslして
sshd、crond、httpd等のopensslを利用しているサービスを再起動しました。
service crond restart
ちなみに、crondを再起動してなかったら以下のようなエラーがでていました。
Apr 8 15:24:01 nat02 crond[31612]: (root) FAILED to authorize user with PAM (Module is unknown)
以下のように更新後にライブラリのバージョンがきちんと使われているか確認するのが良いらしいです。
# lsof -n | grep ssl
sendmail 1181 root mem REG 202,1 221568 6393 /usr/lib64/libssl3.so
sendmail 1181 root DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e
sendmail 1188 smmsp mem REG 202,1 221568 6393 /usr/lib64/libssl3.so
sendmail 1188 smmsp DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e
sshd 5890 root mem REG 202,1 221568 6393 /usr/lib64/libssl3.so
zabbix_ag 6147 zabbix DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e
zabbix_ag 6147 zabbix mem REG 202,1 221568 6393 /usr/lib64/libssl3.so
zabbix_ag 6148 zabbix DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e
zabbix_ag 6148 zabbix mem REG 202,1 221568 6393 /usr/lib64/libssl3.so
zabbix_ag 6149 zabbix DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e
zabbix_ag 6149 zabbix mem REG 202,1 221568 6393 /usr/lib64/libssl3.so
zabbix_ag 6150 zabbix DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e
zabbix_ag 6150 zabbix mem REG 202,1 221568 6393 /usr/lib64/libssl3.so
zabbix_ag 6151 zabbix DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e
zabbix_ag 6151 zabbix mem REG 202,1 221568 6393 /usr/lib64/libssl3.so
zabbix_ag 6152 zabbix DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e
zabbix_ag 6152 zabbix mem REG 202,1 221568 6393 /usr/lib64/libssl3.so
sshd 8212 root mem REG 202,1 221568 6393 /usr/lib64/libssl3.so
sshd 8214 isao-op mem REG 202,1 221568 6393 /usr/lib64/libssl3.so
sudo 8234 root mem REG 202,1 221568 6393 /usr/lib64/libssl3.so
# ls -lh /usr/lib64/libssl*
-rwxr-xr-x 1 root root 217K Feb 28 2013 /usr/lib64/libssl3.so
lrwxrwxrwx 1 root root 16 Apr 8 06:14 /usr/lib64/libssl.so.10 -> libssl.so.1.0.1e
-rwxr-xr-x 1 root root 427K Apr 7 23:41 /usr/lib64/libssl.so.1.0.1e
# service sendmail restart
# service zabbix-agent restart
できるならOS再起動してもいいかと思います。
以下のサイトで検索すると脆弱かどうか調べられます。
Test your server for Heartbleed (CVE-2014-0160)
既存の証明書やELBつかってるところの対策はこれからになるかと思います。
クロストラストのページには証明書は更新したほうがいいと書かれています。。
SSLサーバ証明書のクロストラスト — OpenSSL 1.0.1に含まれる脆弱性(The Heartbleed Bug)への対応に関するお知らせ
何か新しく情報を得たら追記するようにします。
4/9追記:
以下のページにELBの対策のリンクがあり、「顧客のアクションを必要としない軽減策を行った」と書いてあり、チェックサイトで確かめたところ対応されているようでした。
Heartbleed ~ OpenSSL脆弱性 (CVE-2014-0160) まとめ - Qiita
AWS Services Updated to Address OpenSSL Vulnerability
ただし、証明書の更新も必要なようです。 AWS Solutions Architect ブログ: ELBのSSL証明書更新の方法
証明書や影響を受けるOS等については、こちら「CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば」のページにも詳しくかかれていました。
SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる必要が。秘密鍵を奪取されている場合があるためです。
Twitterのハッシュタグ:#heartbleed です。追ってみるとすごい勢いで呟かれてます。
4/10追記:
CiscoのVPNクライアントソフト(Cisco AnyConnect Secure Mobility Client)大丈夫かな~と思ってみたところ影響うけるのはiOS版だけのようでした。
Cisco Security Advisory: OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products
みていただいてありがとうございました。
