検証用さくらVPSサーバのOpenSSLのバージョンアップデートを更新したメモ。

OpenSSL Heartbleedの脆弱性(CVE-2014-0160)
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
OpenSSL CCS Injection脆弱性(CVE-2014-0224)
http://ccsinjection.lepidum.co.jp/ja.html

上記2つの脆弱性は以下の修正で修正済み

openssl-1.0.1e-16.el6_5.14

  1. 現在のOpensslバージョンの確認
  2. [root@wwwXXXXup ~]# openssl version
    OpenSSL 1.0.1e-fips 11 Feb 2013
    [root@wwwXXXXup ~]# yum list installed | grep openssl
    openssl.x86_64      1.0.1e-16.el6_5.4  @updates                                
    openssl-devel.x86_64
    
  3. yumコマンドでOpensslをアップデート
  4. [root@wwwXXXXup ~]# yum update openssl
    
    (中略)
    
    Updated:
      openssl.x86_64 0:1.0.1e-16.el6_5.15                                           
    
    Dependency Updated:
      openssl-devel.x86_64 0:1.0.1e-16.el6_5.15                                     
    
    Complete!
    
  5. アップデート後バージョン確認
  6. [root@wwwXXXXup ~]# openssl version
    OpenSSL 1.0.1e-fips 11 Feb 2013
    [root@wwwXXXXup ~]# yum list installed | grep openssl
    openssl.x86_64      1.0.1e-16.el6_5.15  @updates                                
    openssl-devel.x86_64
    

    ※1.0.1e-16.el6_5.14以降になっていれば問題なし。


  7. 再起動
  8. apache(httpd)やNginxなどOpenSSLを使用しているプロセスを再起動します。

    サーバを再起動することができる状態なら、サーバリブートしてしまおう。


    -参考-

    発見者である菊池正史氏が所属する「株式会社lepidum」のページ

    http://ccsinjection.lepidum.co.jp/ja.html

    TLS heartbeat read overrun (CVE-2014-0160)
    https://www.openssl.org/news/secadv_20140407.txt

    SSL/TLS MITM vulnerability (CVE-2014-0224)
    https://www.openssl.org/news/secadv_20140605.txt




マスタリングTCP/IP SSL/TLS編
Eric Rescorla
オーム社
2003-11