さくらのインターネットより、openSSLの脆弱性に関する注意メールがありました。(メールが届いたのは、4月14日でしたが、確認が遅れて本日このメールを確認しました。これはすぐに対応しなければと思い、取り急ぎ、掲載しています。)
メールの内容は、以下のとおり。
2014年4月7日(現地発表時間)、SSLおよびTLSの暗号化ライブラリ「OpenSSL」において、セキュリティ上の重大な脆弱性が発表されました。 OpenSSLはオープンなSSL/TLS実装としてLinuxをはじめとするUnix系OSにおいて広く利用されています。そのため、「さくらのクラウド」や「さくらのVPS」、「専用サーバ」など、OSの管理者権限がお客様にお渡しされるサービスをご利用中の場合、お客様側での影響の調査や問題の修正などの対応が必要となる場合があります。
今回発表された脆弱性により、以下のような問題が発生します。
● 脆弱性を持つバージョンを使用している場合、heartbeat extension機能に関連するソフトウェア実装上の問題によりシステムメモリ内の情報が漏えいしてしまう危険性があります
→ 秘密鍵などの重要な情報がクライアント側で取得される可能性があります。
● 脆弱性を持つバージョンを使用して公開したSSL鍵は情報が漏れた可能性があります
→ 鍵の再生成・認証局への再申請を行う必要があります。
その注意文には、本脆弱性の影響を受けるバージョンとその確認方法が掲載されておりました。
OpenSSL バージョン調査方法
1.0.1系 | 1.0.1 から 1.0.1f までのリリース | 1.0.1g |
1.0.2-beta系 | 1.0.2-beta から 1.0.2-beta1 までのリリース | 1.0.2-beta2 (リリース予定) |
※上記以外のバージョン系統(0.9.X系など)には影響はありません
各OSでのバージョン確認方法
RPM (RedHat / CentOS / ScientificLinux等) |
rpm -q openssl |
deb (Ubuntu / Debian等) |
dpkg -l libssl1.0.0 |
パッケージ管理システムを使用していない場合 (FreeBSD等) |
openssl version |
対応方法
主な対応方法としては、
- 1. OpenSSLのバイナリやパッケージを脆弱性修正版に更新する
- 2. OpenSSLのheartbeat extensionを無効化したバイナリに置き換える
の2つの方法があります。OpenSSLでは提供パッケージによる依存関係があり、これらの関係が自動的に設定されるパッケージ管理システムによる更新をおすすめします。
なお、修正版への更新後は、OpenSSLライブラリを使用する動作中アプリケーション(Webサーバ、FTPサーバなど)、またはOSの再起動が必要となります。
以上のような内容です。
私のサーバーを確認したところ、幸いにも、今回の脆弱性の影響を受けるバージョンではありませんでした。(0.9.X系でした)
SSLを巡っては、つい最近IOSの致命的とも言える脆弱性がネットで報告されたばかりです。SSLは、通信の暗号化を担うものですが、せっかく暗号化しても、情報が駄々漏れでは意味がありませんからね。