OpenSSLバージョン1.0.1、1.0.0、および0.9.8を使用している本番マシンを見つけた場合、2015年3月に報告された重大な脆弱性があります– OpenSSL 1.0.2 ClientHello sigalgs DoS(CVE-2015-0291)および再分類:RSAサイレントEXPORT_RSA [クライアント](CVE-2015-0204)にダウングレードします。
上記の2つは、ここで報告されているいくつかの脆弱性の中で重大度が高いと分類されました。影響を受けるOpenSSLバージョンのリストは、1.0.1、1.0.0、および0.9.8です。 OpenSSLリリースチームからの報告によると、2014年4月にHeartbleedのバグが見つかったため、脆弱性は深刻ではありません。ただし、最新バージョンにアップグレードすると、サービス拒否攻撃を防ぐことができます。
識別された脆弱性は、CentOS、RHEL、Debian、およびUbuntuを実行しているシステムでOpenSSLバージョンを更新することで修正できます。
OpenSSLを更新する方法を見てみましょう
前提条件 :ROOT権限
インストールされているOpenSSLのバージョンを見つける方法
$ openssl version OpenSSL 1.0.1e-fips 11 Feb 2013
(または)
$ yum list installed openssl openssl.x86_64 1.0.1e-16.el6_5.4 @updates
‘opensslバージョン ‘コマンドはDebianとUbuntuでも機能するはずです。または、以下のコマンドを実行することもできます。
[debian/ubuntu ] $ sudo dpkg -l | egrep '^ii.*openssl'
最新バージョンにアップグレードしてOpenSSLを修正/パッチする
$sudo yum update openssl
出力例:
Setting up Update Process Resolving Dependencies --> Running transaction check ---> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated --> Processing Dependency: openssl = 1.0.1e-16.el6_5.4 for package: openssl-devel-1.0.1e-16.el6_5.4.x86_64 ---> Package openssl.x86_64 0:1.0.1e-30.el6.8 will be an update --> Running transaction check ---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.4 will be updated ---> Package openssl-devel.x86_64 0:1.0.1e-30.el6.8 will be an update --> Finished Dependency Resolution Dependencies Resolved ============================================================================================================================================================= Package Arch Version Repository Size ============================================================================================================================================================= Updating: openssl x86_64 1.0.1e-30.el6.8 updates 1.5 M Updating for dependencies: openssl-devel x86_64 1.0.1e-30.el6.8 updates 1.2 M Transaction Summary ============================================================================================================================================================= Upgrade 2 Package(s) Total download size: 2.7 M Downloading Packages: (1/2): openssl-1.0.1e-30.el6.8.x86_64.rpm | 1.5 MB 00:08 (2/2): openssl-devel-1.0.1e-30.el6.8.x86_64.rpm | 1.2 MB 00:08 ------------------------------------------------------------------------------------------------------------------------------------------------------------- Total 156 kB/s | 2.7 MB 00:17 Running rpm_check_debug Running Transaction Test Transaction Test Succeeded Running Transaction Updating : openssl-1.0.1e-30.el6.8.x86_64 1/4 Updating : openssl-devel-1.0.1e-30.el6.8.x86_64 2/4 Cleanup : openssl-devel-1.0.1e-16.el6_5.4.x86_64 3/4 Cleanup : openssl-1.0.1e-16.el6_5.4.x86_64 4/4 Verifying : openssl-1.0.1e-30.el6.8.x86_64 1/4 Verifying : openssl-devel-1.0.1e-30.el6.8.x86_64 2/4 Verifying : openssl-1.0.1e-16.el6_5.4.x86_64 3/4 Verifying : openssl-devel-1.0.1e-16.el6_5.4.x86_64 4/4 Updated: openssl.x86_64 0:1.0.1e-30.el6.8 Dependency Updated: openssl-devel.x86_64 0:1.0.1e-30.el6.8 Complete!
DebianおよびUbuntuマシンの場合 :
[debian/ubuntu ] $ apt-get update [debian/ubuntu ] $ apt-get upgrade
さて、あなたはOpenSSLを更新しました。これで、サーバーを再起動するか、OpenSSLを使用するサービスを再起動できます。
OpenSSLを使用しているサービスを見つける方法
以下のコマンドは、現在実行中であり、OpenSSLライブラリを使用しているサービスを一覧表示します。
$lsof | grep libssl | awk '{print $1}' | sort | uniq
data-down
httpd
master
mysqld
php
pickup
postmaste すべてのサービスを再起動すると、OpenSSLバージョン1.0.2、1.0.1、1.0.0、0.9.8の脆弱性にパッチが適用されます。
注: 今後この投稿を更新しない場合でも、システムが常に最新のパッチで更新されていることを確認する必要があります。
また読む:便利なOpenSSLコマンドのリスト