[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00813] Re: OpenSSLの脆弱性について (CVE-2014-0160)



皆様

お世話になっております。
(株)オープンソース・ワークショップの永原と申します。

弊社環境のCentOS 6.5 について、OpenSSL のバージョンアップを行ったものを
情報共有として投稿させて頂きます。

CenOS 6.5 の場合、アップデートが必要

openssl-1.0.1e-16.el6_5.1.x86_64 ⇒ openssl-1.0.1e-16.el6_5.7.x86_64 へ
アップデートしました。

$ openssl version
コマンドだけでは、表示されるバージョンが変わらないので注意。
$ rpm -q openssl
でopenssl の詳細バージョンを確認する必要がある。

// 参考
JPCERT/CC (OpenSSL の脆弱性に関する注意喚起)
https://www.jpcert.or.jp/at/2014/at140013.html

CentOS-announce (020249.html で更新ファイルをアップロードした旨とバージ
ョンが書かれている)
http://lists.centos.org/pipermail/centos-announce/2014-April/020248.html
http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html

--- アップデート前のバージョン確認

$ cat /etc/redhat-release
CentOS release 6.5 (Final)

$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

$ rpm -q openssl
openssl-1.0.1e-16.el6_5.1.x86_64

--- アップデート

$ sudo yum update openssl

Updating:
 openssl             x86_64       1.0.1e-16.el6_5.7         updates       
1.5 M
Updating for dependencies:
 openssl-devel       x86_64       1.0.1e-16.el6_5.7         updates       
1.2 M

--- 念のため、サーバの再起動

関連するサービスの再起動とあるが、念のため、サーバの再起動を行った。
秘密鍵を使っている場合は、作り直した方が良いとの情報があります。

--- アップデート後のバージョン確認

$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

$ rpm -q openssl
openssl-1.0.1e-16.el6_5.7.x86_64

以上、情報共有にて失礼致します。


>みなさま
>西村です。
>
>CentOSについて言うと、バージョン6.5のOpenSSLパッケージを使っている
>場合のみ影響を受けると考えられます。おおざっぱに言うと去年11月20日以降
>にCentOS 6をインストールもしくはアップデートを行なっている場合に影響
>を受ける可能性があります。
># それ以前のパッケージの場合バージョンが 1.0.0-○○ となっています。この場合
>影響を受けません。
>以下にも書かれていますが、5.x(0.9.8○-○○)も影響を受けません。
>
>> Windows用のSPはOpenSSLをパッケージ内部に含んでいるため、Shibboleth SPパッ
>> ケージのアップデートが必要となります。現在Shibboleth Projectにてパッケー
>> ジを作成している段階とのことです。
>
>Windows版のShibboleth SPインストーラー(.msi)は未だ作成中です。
>
>他のOSについては、OpenSSLを内部に持つことはないため、CentOS同様、OS付属の
>OpenSSLパッケージをアップデートし、リブートまたは影響を受けるサービスを再起動
>してください。Shibbolethパッケージ自体のアップデート・再インストールは不要で
>す。
>
>参考まで、多くのOSでは修正済みパッケージが用意されているようです。
>- Scientific Linux
>  http://www.debian.org/security/2014/dsa-2896
>- Ubuntu
>  http://www.ubuntu.com/usn/usn-2165-1/
>- Debian
>  http://www.debian.org/security/2014/dsa-2896
>- Gentoo Linux
>  http://www.gentoo.org/security/en/glsa/glsa-201404-07.xml
>- おまけでCentOSのアナウンス
>  http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html
>
>その他
>- パッチ
>  http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902
>- 発見者のサイト
>  この脆弱性は発見者によって"Heartbleed"と名付けられました。公式なIDは CVE-
>2014-0160 です。
>  Heartbleed bug website
>  http://heartbleed.com/
>
>以下は Shibboleth Project/Consortium からの第一報です。Shibboleth ML
>のアーカイブにまだ保存されていないようなので、全文引用します。
>
>> Begin forwarded message:
>> 
>> From: "Cantor, Scott" <xxxxxxxx@xxxxxxx>
>> Subject: OpenSSL heartbleed bug / Shibboleth implications
>> Date: April 7, 2014 9:25:11 PM MDT
>> To: <xxxxxxxx@xxxxxxxxxxxxxx>
>> Reply-To: <xxxxx@xxxxxxxxxxxxxx>
>> 
>> A very serious bug in OpenSSL 1.0.1  was announced this afternoon:
>> 
>> http://heartbleed.com/
>> 
>> The actual direct impact on the Shibboleth software packages is relatively 
>> minimal in comparison with the fallout from this. The only distribution of 
>> OpenSSL included with any Shibboleth software is the Windows SP.
>> 
>> I'm not waiting to produce an actual advisory on this before saying 
>> something because this is a major, major bug and it's public.
>> 
>> I am working to prepare a patch for this (I had no advance warning) and it 
>> will be done as soon as I can produce it. It will *only* apply to the 
>> supported SP version, which is 2.5.3. Anything older than 2.5.0 didn't 
>> include an affected OpenSSL version, but any 2.5.x version will need to be 
>> updated to 2.5.3 and then patched.
>> 
>> Any other SP version is still vulnerable if used with OpenSSL 1.0.1, but I 
>> don't control the process of obtaining an update, so that will depend on 
>> your OS or local build.
>> 
>> On the IdP side, this is really a matter for deployment considerations. We 
>> don't provide the actual web server and TLS implementation for the IdP, so 
>> you would need to evaluate your choices there and determine whether OpenSSL 
>> 1.0.1 is implicated. Obviously pure Java solutions hosting the IdP are not, 
>> though some Java containers can be configured to use OpenSSL as a TLS stack 
>> for performance reasons.
>> 
>> As to the implications, this is a very severe bug, and has apparently been 
>> shown to leak the private key used on the server or client. In the case of 
>> an IdP, that usually means the potential exposure of *the* signing key 
>> because that key usually doubles as a server key for SOAP traffic on a 
>> second port.
>> 
>> In the case of the SP, there is, I think, somewhat less risk because the SP 
>> doesn't generally contact arbitrary servers that might be used to attack it, 
>> but that doesn't guarantee safety.
>> 
>> In the security parlance, keys at risk are basically considered compromised 
>> and the official advice would have to be to revoke and replace them. I 
>> would imagine that federations will be moving on this to help people 
>> understand and react to this, but I felt an obligation to say something in 
>> the interim, given the gravity of the bug.
>> 
>> -- Scott Cantor
>> Shibboleth Project/Consortium
>
>
>2014/04/08 19:43、MIZUMOTO, Akinori <xxxxxxxxxxxxxx@xxxxxxxxx> のメール:
>
>> IdP/SP運用担当者各位
>> 情報交換ML各位
>> 
>> 国立情報学研究所 学認事務局です。
>> 
>> OpenSSL 1.0.1系(1.0.1〜1.0.1f)に重大な脆弱性が公開されました。
>> 
>> http://www.openssl.org/news/secadv_20140407.txt
>> 
>> 脆弱性を悪用された場合はメモリ上にある暗号化された情報や、秘密鍵の情報
>> などの機密性の高い情報が漏えいする可能性があります。
>> 
>> この脆弱性は、技術ガイドに則ってCentOS 6でIdP/SPを構築したサーバで影響
>> を受けます(CentOS 5ではOpenSSL 0.9.8系のため影響を受けません)。
>> CentOS 6ではすでにアップデートパッケージが出ていますのでアップデートを
>> 行っていただくことをおすすめいたします。
>> 
>> https://rhn.redhat.com/errata/RHSA-2014-0376.html
>> 
>>   ※ openssl-1.0.1e-16.el6_5.7 が本脆弱性に対応したパッケージです。
>>      アップデート後にサーバの再起動または、httpd, shibdなどの各種
>>      サービスの再起動を行ってください。
>> 
>> Windows用のSPはOpenSSLをパッケージ内部に含んでいるため、Shibboleth SPパッ
>> ケージのアップデートが必要となります。現在Shibboleth Projectにてパッケー
>> ジを作成している段階とのことです。
>> 
>> CentOS以外のディストリビューションをご利用の場合でも本脆弱性の影響を受
>> ける可能性がありますので、各ディストリビューションの情報をご確認いただ
>> くことをお勧めいたします。
>
>-- 
>西村健
>国立情報学研究所 TEL:03-4212-2890


-------------------------------------------------------------
株式会社オープンソース・ワークショップ
永原 篤
e-mail xxxxxxxx@xxxxxxxxxxxxxxxxxxxxxx
url http://opensource-workshop.jp
facebook http://www.facebook.com/opensourceworkshop
携帯 090(1699)2746
-------------------------------------------------------------