CloudLinuxは、CentOS6サーバーを新しいOpenSSLの脆弱性から保護するために2024年まで拡張サポートを提供します。
OpenSSLは最近、1.0.2および1.1.1バージョンを実行しているサーバーに影響を与える高レベルの検出用のセキュリティパッチをリリースしました。残念ながら、OpenSSLはCentOS 6のパッチをリリースせず、CentOS7とCentOS8のみをリリースすると発表しました。これにより、CentOS 6オペレーティングシステムを含むパッチが適用されていないOpenSSLを実行しているサーバーは、ソフトウェア、重要なサービス、または、オペレーティングシステムがクラッシュする可能性があります。ただし、CloudLinuxは、OpenSSLの現在のバージョン、サポートされていない1.0.1バージョン、およびCentOS6オペレーティングシステムを実行しているサーバーにパッチを適用します。
CVE-2020-1971の脆弱性の詳細
OpenSSLには、GENERAL_NAME_cmp()という名前の関数があります 2つのパラメータを比較し、次の2つのアクションを実行します。
- X.509証明書を証明書失効リスト(CRL)の項目と比較します。
- 応答トークン署名者のタイムスタンプを機関名のタイムスタンプと比較します。
この機能は、証明書が取り消されていないことを確認するための安全な通信において重要です。認証局(CA)組織は、いくつかの理由で証明書を取り消します。侵害によりサーバーの秘密鍵が盗まれた場合、CAは通信の整合性を保護するために証明書を取り消します。失効のその他の理由には、証明書の誤用が含まれ、新しい証明書を公開する必要がある、CAが侵害されている、またはCAがドメイン所有者の許可なしに証明書を作成した。これらのいずれの場合でも、攻撃者は標的のドメインになりすましてユーザーをだまし、サイトを信頼させる可能性があります。これにより、高度なフィッシング攻撃や機密データの開示につながる可能性があります。
攻撃者がGENERAL_NAME_cmp()に渡される両方のパラメータを制御できる場合 関数の場合、両方のパラメーターが同じタイプの場合、DoS条件が満たされます。この脆弱性を発見したGoogleの研究者は、関数にタイプEDIPartyNameの2つのパラメーターを渡すことで、概念実証のデモンストレーションを実行できました。 、OpenSSLコードで定義されています。
ID CVE-2020-1971が割り当てられた脆弱性のパッチ 、2020年12月8日にリリースされました。オープンソースコードへの変更は、OpenSSLのGithubリポジトリにあります。 。 OpenSSLの発表で脆弱性の詳細を読むことができます ページ。
OpenSSLにパッチが適用されていない場合、どうなりますか?
リモートコード実行(RCE)は問題ではありませんが、パッチが適用されていないサーバーはDoSの影響を受け、サービスがオフラインになってユーザーが利用できなくなる分散型サービス拒否(DDoS)状態になる可能性があります。ビジネスの生産性を維持するために利用可能である必要がある、またはサービスレベル契約を満たすためにオンラインである必要がある重要なサーバーは、攻撃者の標的になる可能性があります。 CVEはリスクレベルを「高」に設定しました。これは、組織にとって深刻な脆弱性と見なされていることを意味します。 「重大」とラベル付けされた脆弱性のみがより深刻であり、これらの脆弱性は約5年に1回発生します。
CentOS6および/またはKernelCare+の拡張サポートによる軽減
CentOS 6のCloudLinux拡張サポートでは、このセキュリティパッチを顧客が利用できます。 CentOS 6の保守終了(EOL)は2020年11月でしたが、CloudLinuxは、管理者がオペレーティングシステムの新しいバージョンにアップグレードできるようになるまで、サーバーをopenSSLの脆弱性から保護するために、2024年まで拡張サポートを提供します。拡張サポートにサインアップするには、このフォームに記入してください 。
KernelCareは、OpenSSLおよび他のいくつかの共有ライブラリのライブパッチサポートも提供しています。 。
CentOS6のCloudLinux拡張サポートのインストール
CloudLinux拡張サポートのインストールに必要なコマンドはわずかです。
インストーラースクリプトをダウンロードします:
wget https://repo.cloudlinux.com/centos6-els/install-centos6-els-repo.pyインストーラースクリプトを実行します(ライセンスキーが必要であることに注意してください):
python install-centos6-els-repo.py --license-key XXX-XXXXXXXXXXXX
上記のコマンドは、centos-els-releaseをインストールします リポジトリのPGPキーを含むパッケージ。次のコマンドを実行して、インストールが完了したことを確認できます。
rpm -q centos-els-release上記のコマンドからの出力は次のように表示されます。
centos-els-release-6-6.10.1.el6.x86_64注: 2020年12月1日時点でまだCentOSを実行している既存のお客様は、自動的にEOLサポートに変換されました。
KernelCare+のインストール
KernelCare +は、CloudLinuxESをインストールするのと同じくらい簡単です。 KernelCare +をインストールするには、次のいずれかのコマンドを実行します。
curl -s -L https://kernelcare.com/installer | bashまたは、
wget -qq -O - https://kernelcare.com/installer | bashKernelCare +のインストールの詳細については、公式のドキュメントを参照してください。 。
結論
研究者は、このOpenSSLの脆弱性を悪用するのははるかに難しいと指摘していますが、これはサーバーのパッチ適用を遅らせる必要があるという意味ではありません。手動で行う場合でも、OpenSSLの新しいバージョンにアップグレードする場合でも、KernelCare +によるライブパッチを選択する場合でも、すぐに行ってください。 OpenSSLは依然として最もソフトウェアを標的としたテクノロジーの1つであり、DDoS攻撃は見た目よりも頻繁に発生します。
関連記事:
- 再起動せずにLinuxサーバーを実行するのに役立つ5つのカーネルライブパッチツール