OpenSSLの重大バグ(CVE-2014-0160)への対応
こんにちは。小宮です。
OpenSSLの重大バグが発見されたという記事をうけまして、
さすがに影響が大きいようなので関連情報を記録しておきます。
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 | TechCrunch Japan
JVNVU#94401838: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
影響範囲はopenssl-1.0.1~1.0.1fということで、まじめに最新にしてるサイトが影響を受けるという皮肉なことに。
でもまあ影響範囲が限定的なのは良かったと思います。
弊社ではCentOS6.5とAmazonLinuxの環境が影響を受けました。
まず以下をご覧ください。
対策方法を記しているサイト:
AWS – EC2インスタンスのOpenSSLのHartbleed Bug対応 – Qiita
opensslのTLS heartbeat read overrun (CVE-2014-0160)を対処した | Ore no homepage
バージョンの確認方法は
1 2 |
rpm -qa|grep openssl |
とか
1 2 |
openssl version |
という感じで、
CVE-2014-0160をfixしてるパッチがあたってるかどうかは、以下のように確認しました。
1 2 3 4 |
rpm -q --changelog openssl |head * 月 4月 07 2014 Toma? Mraz <tmraz@redhat.com> 1.0.1e-16.7 - fix CVE-2014-0160 - information disclosure in TLS heartbeat extension |
あたってなければ、yum update opensslして
sshd、crond、httpd等のopensslを利用しているサービスを再起動しました。
1 2 |
service crond restart |
ちなみに、crondを再起動してなかったら以下のようなエラーがでていました。
1 2 |
Apr 8 15:24:01 nat02 crond[31612]: (root) FAILED to authorize user with PAM (Module is unknown) |
以下のように更新後にライブラリのバージョンがきちんと使われているか確認するのが良いらしいです。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
# lsof -n | grep ssl sendmail 1181 root mem REG 202,1 221568 6393 /usr/lib64/libssl3.so sendmail 1181 root DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e sendmail 1188 smmsp mem REG 202,1 221568 6393 /usr/lib64/libssl3.so sendmail 1188 smmsp DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e sshd 5890 root mem REG 202,1 221568 6393 /usr/lib64/libssl3.so zabbix_ag 6147 zabbix DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e zabbix_ag 6147 zabbix mem REG 202,1 221568 6393 /usr/lib64/libssl3.so zabbix_ag 6148 zabbix DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e zabbix_ag 6148 zabbix mem REG 202,1 221568 6393 /usr/lib64/libssl3.so zabbix_ag 6149 zabbix DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e zabbix_ag 6149 zabbix mem REG 202,1 221568 6393 /usr/lib64/libssl3.so zabbix_ag 6150 zabbix DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e zabbix_ag 6150 zabbix mem REG 202,1 221568 6393 /usr/lib64/libssl3.so zabbix_ag 6151 zabbix DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e zabbix_ag 6151 zabbix mem REG 202,1 221568 6393 /usr/lib64/libssl3.so zabbix_ag 6152 zabbix DEL REG 202,1 6243 /usr/lib64/libssl.so.1.0.1e zabbix_ag 6152 zabbix mem REG 202,1 221568 6393 /usr/lib64/libssl3.so sshd 8212 root mem REG 202,1 221568 6393 /usr/lib64/libssl3.so sshd 8214 isao-op mem REG 202,1 221568 6393 /usr/lib64/libssl3.so sudo 8234 root mem REG 202,1 221568 6393 /usr/lib64/libssl3.so # ls -lh /usr/lib64/libssl* -rwxr-xr-x 1 root root 217K Feb 28 2013 /usr/lib64/libssl3.so lrwxrwxrwx 1 root root 16 Apr 8 06:14 /usr/lib64/libssl.so.10 -> libssl.so.1.0.1e -rwxr-xr-x 1 root root 427K Apr 7 23:41 /usr/lib64/libssl.so.1.0.1e # service sendmail restart # service zabbix-agent restart |
できるならOS再起動してもいいかと思います。
以下のサイトで検索すると脆弱かどうか調べられます。
Test your server for Heartbleed (CVE-2014-0160)
既存の証明書やELBつかってるところの対策はこれからになるかと思います。
クロストラストのページには証明書は更新したほうがいいと書かれています。。
SSLサーバ証明書のクロストラスト — OpenSSL 1.0.1に含まれる脆弱性(The Heartbleed Bug)への対応に関するお知らせ
何か新しく情報を得たら追記するようにします。
4/9追記:
以下のページにELBの対策のリンクがあり、「顧客のアクションを必要としない軽減策を行った」と書いてあり、チェックサイトで確かめたところ対応されているようでした。
Heartbleed ~ OpenSSL脆弱性 (CVE-2014-0160) まとめ – Qiita
AWS Services Updated to Address OpenSSL Vulnerability
ただし、証明書の更新も必要なようです。
AWS Solutions Architect ブログ: ELBのSSL証明書更新の方法
証明書や影響を受けるOS等については、こちら「CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ – めもおきば」のページにも詳しくかかれていました。
SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる必要が。秘密鍵を奪取されている場合があるためです。
Twitterのハッシュタグ:#heartbleed です。追ってみるとすごい勢いで呟かれてます。
4/10追記:
CiscoのVPNクライアントソフト(Cisco AnyConnect Secure Mobility Client)大丈夫かな~と思ってみたところ影響うけるのはiOS版だけのようでした。
Cisco Security Advisory: OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products
みていただいてありがとうございました。