こんにちは。小宮です。
OpenSSLの重大バグが発見されたという記事をうけまして、
さすがに影響が大きいようなので関連情報を記録しておきます。
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 | TechCrunch Japan
JVNVU#94401838: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
影響範囲はopenssl-1.0.1~1.0.1fということで、まじめに最新にしてるサイトが影響を受けるという皮肉なことに。
でもまあ影響範囲が限定的なのは良かったと思います。
弊社ではCentOS6.5とAmazonLinuxの環境が影響を受けました。
まず以下をご覧ください。
対策方法を記しているサイト:
AWS - EC2インスタンスのOpenSSLのHartbleed Bug対応 - Qiita
opensslのTLS heartbeat read overrun (CVE-2014-0160)を対処した | Ore no homepage
バージョンの確認方法は
rpm -qa|grep openssl とか
openssl version という感じで、
CVE-2014-0160をfixしてるパッチがあたってるかどうかは、以下のように確認しました。
rpm -q --changelog openssl |head * 月 4月 07 2014 Toma?
...