OpenSSLの脆弱性攻撃被害「Heartbleed」の更新対策と確認方法
今までOpenSSLの利用にあたって特に意識したことがなかったですね。
Apache(WEBサーバー)でSSL証明書を利用する際に、OpenSSLのライブラリが
必要だということ以外に正直あまり深く考えたことがあまりありませんでした。
■Heartbleedの脆弱性に該当するOpenSSLのバージョン
OpenSSL 1.0.1~OpenSSL 1.0.1fまで
※beta版は除く
Cent OS 5(OpenSSL0.9x)など少し古いLinux OSの場合は、今回問題となっているOpenSSLのバージョンでは
対象外なので問題はなさそうです。
最新のソースからコンパイルしてインストールしている場合は、古いLinuxでも問題のバージョンを
利用している確率が高いですね。
1台のApacheサーバーでSSL証明書を複数利用する際に、最新のOpenSSLをソースからインストール
した事がありましたが、まさにそれです。
また、Cent OS 6など最新に近いLinux OSの場合は、今回の問題に該当するのだと思います。
個人的に管理しているサーバーがこのような感じでした。
ほとんどのディストリビューションでパッチを当てた修正パッケージが公開されているので
早急にアップデートすることをおすすめします。
が、既に何らかの被害を受けていると思う場合は、OpenSSLをアップデートし
証明書を再発行しなければいけません。
一旦証明書を無効にしてもらい、再申請しないといけない・・・これは相当な労力かもしれませんね。
■OpenSSL 最新版ダウンロード
www.openssl.org/
■OpenSSL 脆弱性設定確認ツール
www.ssllabs.com/ssltest/
(脆弱性対応前)
This server is vulnerable to the Heartbleed attack.
(脆弱性対応後)
This server is not vulnerable to the Heartbleed attack.
インターネット上では、今回の脆弱性を含んだサーバーを自動で収集するツールが
公開されているそうです。
上記ツールで脆弱性がOFFになっていることを確認し、早急に対処したほうが良さそうですね。
上記のツールで危険レベルMAXでした。
ツールではその他の脆弱性も見つけてくれます。
This server does not mitigate the CRIME attack.
This server supports SSL 2, which is obsolete and insecure.
The server supports only older protocols, but not the current best TLS 1.2.
The server does not support Forward Secrecy with the reference browsers.
関連記事
ドコモのdマガジンが開始!早速登録してみました SIMフリー端末でもOK
本日ついにドコモの月額読み放題サービス!dマガジンがスタートしました。 月額使用料400円で、そこそこの有名雑誌が読み放題なので 普段1冊でも購入している雑誌があれば、登録しても決して損は無いサービスかもしれませんね。 […]
今流行のnginx proxy_cache apacheにサイトを移行してみました
今年も残すところあと数日になってきました。 私の中ではもう何日も前からカウントダウンが始まっています。。。 来年に向けて何か整理(頭の中を掃除)していこうと思い 今回、当ブログを今流行のnginx(スタッフが作ったマニュ […]
今どきの自作パソコンは難しい?失敗すると壊れてしまうの?
自分でパソコンを作るのは難しいのでしょうか。 多くの方がパソコンは複雑であるという印象をお持ちだと思います。 そんな複雑なものを自分で作るのは、到底無理だと思う方もいらっしゃるかもしれません。 しかしパソコンを自作するの […]