(cache) OpenSSL脆弱性対応手順まとめ

. @infragirl755 OenSSL本家ブログによれば、『これって超限られた状況下でしか発現しないから深刻度めちゃ低いんで、個別リリースせずに次のリリース時にまとめて修正出すね』とのことです。https://t.co/VwTGicGLt5
— ハシグチ in Malaysia (@ha4gu) 2016年7月4日

一次ソースのチェックは大事ですね( +･｀ω･)b

2．自分の管轄内のOpenSSLのバージョンを調べる

バージョンを出すだけなら・・・

$ dpkg -l | grep openssl

$ yum list installed | grep openssl

最近知ったんですがCent OSだとアップデート可能なら黄色くなってくれるそうですね。便利(ﾟдﾟ)！

パッケージを使っていなくてもopensslコマンドで

バージョンを確認することができます。

$openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

でも・・・

それ本当に今使っているOpenSSLのバージョンなんでしょうか？

もしかしたら後からソースインストールしてるのかも！！！

ｷﾞｬｱｧｧｧｧ━━━━━━(|||ﾟДﾟ)━━━━━━!!!!!!

lsofコマンド(どのプロセスがどのファイルを開いているのか

わかるコマンド）でopensslのライブラリを開いているプロセスを見つけましょう。

# lsof | grep ssl

・・・

fail2ban- 2565 root mem REG 253,4 449880 4680996/usr/lib64/libssl.so.1.0.1e

これで新しいほうを参照してたらOKです。

古いほうを参照してたらアップデートしてあげましょう。4へ続く。

ちなみに現在のstableバージョンは1.0.2系で、1.0.1系はセキュリティ上のバグ修正しかしていないんですって。

そんで、1.0.1系のサポートは2016/12/31までですって。

( ﾟдﾟ)ﾅﾝﾃﾞｽﾄ！

ソース：https://www.openssl.org/source/

3．アップデートするかどうかを決める

BINDのときとほとんど同じことを言いますが・・・

これは、環境によって異なるのでなんとも言えない(´・ω・｀)ｼｮﾎﾞｰﾝ

あとは以下の観点から判断しています。

・対象のサーバが外に出ているかどうか

→FWで守られているかどうか。外に出ているものであれば、一刻も早く対処しないといけないです。リモートで攻撃可能な脆弱性だといつ攻撃を受けるかわかりませんし。

・脆弱性によって受ける影響が大きいかどうか

→これも環境によりけりですね。でも、SSLって大事な情報を守るために使われているものですし、本来守られているべきのものが情報漏えいの脆弱性あり！といわれたら

私なら最優先でアップデートかけちゃうと思います。サービス停止の脆弱性とかだとどうかな。でも、SSL使うようなサービスって大事なやり取りばかりですよね・・・。

基本的には脆弱性にはすべて対応すべきだと思っています。ただし、実際に対応するかどうかは実際の環境や、対応にかかる工数とリスクを天秤にかけて、上司や客先と相談して判断しています。

4 ．OpenSSLをアップデートする

パッケージならアップデートしてあげればOKですね。

アップデート後は、OpenSSLのライブラリを参照しているプロセスが

本当に新しいライブラリを参照しているかlsofコマンドで確認してあげてください。

必要に応じてプロセスのサービスも再起動しましょう。

Σ(ﾟдﾟ) ｴｯ!? OSがサポート切れ？パッケージが提供されない？

<丶´Д｀>ｹﾞｯｿﾘ　しますね。

OpenSSLのサイトからソースをインストールしましょう。

そんで、opensslのライブラリを参照しているプロセスが、新しいバージョンのライブラリを参照するようにがんばりましょう。

（サービス再起動でそううまいこといってくれなくて、筆者はソースapacheのconfigureからやり直したことがあります。超めんどくさかった）

ソースからアップデートの方法については、参照するプロセスによって

大きく違いそうですし、筆者はapacheしかやったことないので割愛します。

ながくなりましたが私はこんな感じでOpenSSL脆弱性対応をしています。

間違いやこうしたらいいよ！という意見などありましたら@infragirl755までリプライいただけると幸いです。