[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00813] Re: OpenSSLの脆弱性について (CVE-2014-0160)
- Subject: [upki-fed:00813] Re: OpenSSLの脆弱性について (CVE-2014-0160)
- Date: Wed, 09 Apr 2014 09:36:40 +0900
- From: OSWS 永原 篤 <xxxxxxxx@xxxxxxxxxxxxxxxxxxxxxx>
皆様
お世話になっております。
(株)オープンソース・ワークショップの永原と申します。
弊社環境のCentOS 6.5 について、OpenSSL のバージョンアップを行ったものを
情報共有として投稿させて頂きます。
CenOS 6.5 の場合、アップデートが必要
openssl-1.0.1e-16.el6_5.1.x86_64 ⇒ openssl-1.0.1e-16.el6_5.7.x86_64 へ
アップデートしました。
$ openssl version
コマンドだけでは、表示されるバージョンが変わらないので注意。
$ rpm -q openssl
でopenssl の詳細バージョンを確認する必要がある。
// 参考
JPCERT/CC (OpenSSL の脆弱性に関する注意喚起)
https://www.jpcert.or.jp/at/2014/at140013.html
CentOS-announce (020249.html で更新ファイルをアップロードした旨とバージ
ョンが書かれている)
http://lists.centos.org/pipermail/centos-announce/2014-April/020248.html
http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html
--- アップデート前のバージョン確認
$ cat /etc/redhat-release
CentOS release 6.5 (Final)
$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
$ rpm -q openssl
openssl-1.0.1e-16.el6_5.1.x86_64
--- アップデート
$ sudo yum update openssl
Updating:
openssl x86_64 1.0.1e-16.el6_5.7 updates
1.5 M
Updating for dependencies:
openssl-devel x86_64 1.0.1e-16.el6_5.7 updates
1.2 M
--- 念のため、サーバの再起動
関連するサービスの再起動とあるが、念のため、サーバの再起動を行った。
秘密鍵を使っている場合は、作り直した方が良いとの情報があります。
--- アップデート後のバージョン確認
$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
$ rpm -q openssl
openssl-1.0.1e-16.el6_5.7.x86_64
以上、情報共有にて失礼致します。
>みなさま
>西村です。
>
>CentOSについて言うと、バージョン6.5のOpenSSLパッケージを使っている
>場合のみ影響を受けると考えられます。おおざっぱに言うと去年11月20日以降
>にCentOS 6をインストールもしくはアップデートを行なっている場合に影響
>を受ける可能性があります。
># それ以前のパッケージの場合バージョンが 1.0.0-○○ となっています。この場合
>影響を受けません。
>以下にも書かれていますが、5.x(0.9.8○-○○)も影響を受けません。
>
>> Windows用のSPはOpenSSLをパッケージ内部に含んでいるため、Shibboleth SPパッ
>> ケージのアップデートが必要となります。現在Shibboleth Projectにてパッケー
>> ジを作成している段階とのことです。
>
>Windows版のShibboleth SPインストーラー(.msi)は未だ作成中です。
>
>他のOSについては、OpenSSLを内部に持つことはないため、CentOS同様、OS付属の
>OpenSSLパッケージをアップデートし、リブートまたは影響を受けるサービスを再起動
>してください。Shibbolethパッケージ自体のアップデート・再インストールは不要で
>す。
>
>参考まで、多くのOSでは修正済みパッケージが用意されているようです。
>- Scientific Linux
> http://www.debian.org/security/2014/dsa-2896
>- Ubuntu
> http://www.ubuntu.com/usn/usn-2165-1/
>- Debian
> http://www.debian.org/security/2014/dsa-2896
>- Gentoo Linux
> http://www.gentoo.org/security/en/glsa/glsa-201404-07.xml
>- おまけでCentOSのアナウンス
> http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html
>
>その他
>- パッチ
> http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902
>- 発見者のサイト
> この脆弱性は発見者によって"Heartbleed"と名付けられました。公式なIDは CVE-
>2014-0160 です。
> Heartbleed bug website
> http://heartbleed.com/
>
>以下は Shibboleth Project/Consortium からの第一報です。Shibboleth ML
>のアーカイブにまだ保存されていないようなので、全文引用します。
>
>> Begin forwarded message:
>>
>> From: "Cantor, Scott" <xxxxxxxx@xxxxxxx>
>> Subject: OpenSSL heartbleed bug / Shibboleth implications
>> Date: April 7, 2014 9:25:11 PM MDT
>> To: <xxxxxxxx@xxxxxxxxxxxxxx>
>> Reply-To: <xxxxx@xxxxxxxxxxxxxx>
>>
>> A very serious bug in OpenSSL 1.0.1 was announced this afternoon:
>>
>> http://heartbleed.com/
>>
>> The actual direct impact on the Shibboleth software packages is relatively
>> minimal in comparison with the fallout from this. The only distribution of
>> OpenSSL included with any Shibboleth software is the Windows SP.
>>
>> I'm not waiting to produce an actual advisory on this before saying
>> something because this is a major, major bug and it's public.
>>
>> I am working to prepare a patch for this (I had no advance warning) and it
>> will be done as soon as I can produce it. It will *only* apply to the
>> supported SP version, which is 2.5.3. Anything older than 2.5.0 didn't
>> include an affected OpenSSL version, but any 2.5.x version will need to be
>> updated to 2.5.3 and then patched.
>>
>> Any other SP version is still vulnerable if used with OpenSSL 1.0.1, but I
>> don't control the process of obtaining an update, so that will depend on
>> your OS or local build.
>>
>> On the IdP side, this is really a matter for deployment considerations. We
>> don't provide the actual web server and TLS implementation for the IdP, so
>> you would need to evaluate your choices there and determine whether OpenSSL
>> 1.0.1 is implicated. Obviously pure Java solutions hosting the IdP are not,
>> though some Java containers can be configured to use OpenSSL as a TLS stack
>> for performance reasons.
>>
>> As to the implications, this is a very severe bug, and has apparently been
>> shown to leak the private key used on the server or client. In the case of
>> an IdP, that usually means the potential exposure of *the* signing key
>> because that key usually doubles as a server key for SOAP traffic on a
>> second port.
>>
>> In the case of the SP, there is, I think, somewhat less risk because the SP
>> doesn't generally contact arbitrary servers that might be used to attack it,
>> but that doesn't guarantee safety.
>>
>> In the security parlance, keys at risk are basically considered compromised
>> and the official advice would have to be to revoke and replace them. I
>> would imagine that federations will be moving on this to help people
>> understand and react to this, but I felt an obligation to say something in
>> the interim, given the gravity of the bug.
>>
>> -- Scott Cantor
>> Shibboleth Project/Consortium
>
>
>2014/04/08 19:43、MIZUMOTO, Akinori <xxxxxxxxxxxxxx@xxxxxxxxx> のメール:
>
>> IdP/SP運用担当者各位
>> 情報交換ML各位
>>
>> 国立情報学研究所 学認事務局です。
>>
>> OpenSSL 1.0.1系(1.0.1〜1.0.1f)に重大な脆弱性が公開されました。
>>
>> http://www.openssl.org/news/secadv_20140407.txt
>>
>> 脆弱性を悪用された場合はメモリ上にある暗号化された情報や、秘密鍵の情報
>> などの機密性の高い情報が漏えいする可能性があります。
>>
>> この脆弱性は、技術ガイドに則ってCentOS 6でIdP/SPを構築したサーバで影響
>> を受けます(CentOS 5ではOpenSSL 0.9.8系のため影響を受けません)。
>> CentOS 6ではすでにアップデートパッケージが出ていますのでアップデートを
>> 行っていただくことをおすすめいたします。
>>
>> https://rhn.redhat.com/errata/RHSA-2014-0376.html
>>
>> ※ openssl-1.0.1e-16.el6_5.7 が本脆弱性に対応したパッケージです。
>> アップデート後にサーバの再起動または、httpd, shibdなどの各種
>> サービスの再起動を行ってください。
>>
>> Windows用のSPはOpenSSLをパッケージ内部に含んでいるため、Shibboleth SPパッ
>> ケージのアップデートが必要となります。現在Shibboleth Projectにてパッケー
>> ジを作成している段階とのことです。
>>
>> CentOS以外のディストリビューションをご利用の場合でも本脆弱性の影響を受
>> ける可能性がありますので、各ディストリビューションの情報をご確認いただ
>> くことをお勧めいたします。
>
>--
>西村健
>国立情報学研究所 TEL:03-4212-2890
-------------------------------------------------------------
株式会社オープンソース・ワークショップ
永原 篤
e-mail xxxxxxxx@xxxxxxxxxxxxxxxxxxxxxx
url http://opensource-workshop.jp
facebook http://www.facebook.com/opensourceworkshop
携帯 090(1699)2746
-------------------------------------------------------------