今回、脆弱性が含まれるバージョンの OpenSSL は、「Heartbleed」と呼ぶバグを悪用することによって、OpenSSL が走るシステムでシステムメモリー上にある大量のデータが漏洩する可能性があるとの事。
これは早急に対処した方が良いですね。
特にECサイトや個人情報を扱っているサイトは早急に対処すべきです。
対象バージョン
以下のバージョンが脆弱性の影響を受けます。
- OpenSSL 1.0.1 から 1.0.1f
- OpenSSL 1.0.2-beta から 1.0.2-beta1
対策方法
以下のいずれかの方法で対応可能。
・脆弱性の修正版に更新する。
・OpenSSL の heartbeat extension を無効にする。
まず、OpenSSL と ライブラリのバージョン確認をします。
// バージョンの確認
# openssl version
OpenSSL 0.9.8o 01 Jun 2010
// ライブラリ依存関係も調べます。
# ldd /usr/bin/openssl
linux-vdso.so.1 => (0x00007fffcbdea000)
libssl.so.0.9.8 => /usr/lib/libssl.so.0.9.8 (0x00007fb82fdee000)
libcrypto.so.0.9.8 => /usr/lib/libcrypto.so.0.9.8 (0x00007fb82fa4d000)
// ~省略~
今回は、すべて0.9.8系だったのでこれで作業は終わりです。
もし、該当バージョンだったら・・・
パッケージのアップデートは下記の方法で行います。
// OpenSSLをアップデート # apt-get update # apt-get install openssl // Apache再起動(or Ngixn) # /etc/init.d/apache2 restart
※ ちなみに、「apt-get upgrade」 は、更新可能なすべてのパッケージをアップデートします。
ライブラリ関係は、一緒にアップデートされると思いますが、「ldd /usr/bin/openssl」で必ず確認してください。
