せたがやえんじにあぶろぐ

Ruby | Rails | iPhone | Web

UbuntuでOpenSSLのセキュリティUpdateしたよ(Part.2)

f:id:eienshinjin:20150122011205p:plain


FREAK攻撃やらClientHelloまた脆弱性対応のアップデートが出たみたい。

詳しい内容。
JVNVU#95877131: OpenSSL に複数の脆弱性

こういう時の情報収集にはTwitterとか使ったりするよ。
OpenSSL - Twitter Search


各ベンダーからセキュリティパッチがあがってきたら対応しておいた方が良いかも。

こういう時って焦ってなんでも対応したくなっちゃうけど

環境によって本当に必要な対応かどうかは変わってくるみたいだから、

ちゃんと情報を確認して行う事が大事だと偉い人が言っていたよ。

それで、対応内容いつも忘れるからメモ。


対応の脆弱性

[深刻度 - 高 (Severity: High)]
CVE-2015-0291(OpenSSL 1.02系のみ) - DoS攻撃
CVE-2015-0204 - RSA暗号が強度の弱い輸出グレードのものへ意図せずダウングレード

RedHat系はOpenSSLのバージョンが1.0.2でもいろいろあって対象外
news.mynavi.jp


[深刻度 - 中 (Severity: Moderate)]
CVE-2015-0290
CVE-2015-0207
CVE-2015-0286
CVE-2015-0208
CVE-2015-0287
CVE-2015-0289
CVE-2015-0292
CVE-2015-0293
CVE-2015-1787

[深刻度 - 低 (Severity: Low)]
CVE-2015-0285
CVE-2015-0209
CVE-2015-0288

FREAK攻撃に関しては 2015年の1月にアップデート済み。

もともと深刻度が低かったけど、意外といろんな所で攻撃できちゃうよめんごめんご

と、言う事で情報が更新されたみたいだよ。


Ubuntu
USN-2537-1: OpenSSL vulnerabilities | Ubuntu

Ubuntu 14.10: libssl1.0.0 1.0.1f-1ubuntu9.4
Ubuntu 14.04 LTS: libssl1.0.0 1.0.1f-1ubuntu2.11
Ubuntu 12.04 LTS: libssl1.0.0 1.0.1-4ubuntu5.25
Ubuntu 10.04 LTS: libssl0.9.8 0.9.8k-7ubuntu8.27
※OSのバージョンに合わせてアップデートするよ


アップデート方法

・OpenSSLのVersion確認
$ dpkg -l | grep openssl

・OpenSSLのUpgrade確認
$ apt-get -s upgrade | grep openssl

・OpenSSLのUpgrade
$ apt-get -y upgrade openssl

・OpenSSLのUpgrade確認(再び)
$ apt-get -s upgrade | grep openssl #=>何も出ないことを確認

・OpenSSLのVersion確認(再び)
$ dpkg -l | grep openssl


RedHat / CentOS(Version.5から7)

OpenSSL アップデート (2015 年 3 月 19 日時点) - Red Hat Customer Portal

今のところアップデート無しの模様。
2015-03-20現在、RedHat系のディストリビューションでは影響無しとの事(保留も含む)

保留の内容が影響ありに変わったりする可能性もあるから、
たまに覗くようにしようかな