OpenSSLの脆弱性攻撃被害「Heartbleed」の更新対策と確認方法
今までOpenSSLの利用にあたって特に意識したことがなかったですね。
Apache(WEBサーバー)でSSL証明書を利用する際に、OpenSSLのライブラリが
必要だということ以外に正直あまり深く考えたことがあまりありませんでした。
■Heartbleedの脆弱性に該当するOpenSSLのバージョン
OpenSSL 1.0.1~OpenSSL 1.0.1fまで
※beta版は除く
Cent OS 5(OpenSSL0.9x)など少し古いLinux OSの場合は、今回問題となっているOpenSSLのバージョンでは
対象外なので問題はなさそうです。
最新のソースからコンパイルしてインストールしている場合は、古いLinuxでも問題のバージョンを
利用している確率が高いですね。
1台のApacheサーバーでSSL証明書を複数利用する際に、最新のOpenSSLをソースからインストール
した事がありましたが、まさにそれです。
また、Cent OS 6など最新に近いLinux OSの場合は、今回の問題に該当するのだと思います。
個人的に管理しているサーバーがこのような感じでした。
ほとんどのディストリビューションでパッチを当てた修正パッケージが公開されているので
早急にアップデートすることをおすすめします。
が、既に何らかの被害を受けていると思う場合は、OpenSSLをアップデートし
証明書を再発行しなければいけません。
一旦証明書を無効にしてもらい、再申請しないといけない・・・これは相当な労力かもしれませんね。
■OpenSSL 最新版ダウンロード
www.openssl.org/
■OpenSSL 脆弱性設定確認ツール
www.ssllabs.com/ssltest/
(脆弱性対応前)
This server is vulnerable to the Heartbleed attack.
(脆弱性対応後)
This server is not vulnerable to the Heartbleed attack.
インターネット上では、今回の脆弱性を含んだサーバーを自動で収集するツールが
公開されているそうです。
上記ツールで脆弱性がOFFになっていることを確認し、早急に対処したほうが良さそうですね。
上記のツールで危険レベルMAXでした。
ツールではその他の脆弱性も見つけてくれます。
This server does not mitigate the CRIME attack.
This server supports SSL 2, which is obsolete and insecure.
The server supports only older protocols, but not the current best TLS 1.2.
The server does not support Forward Secrecy with the reference browsers.
関連記事
リッチな人向けの新ドメイン rich 225,000円のメリット・デメリット
お名前.comに年間225,000円もするrichドメインが誕生しました。 早速10個ぐらい自社のrichドメインを取得だけして、そのうちサービスでも 作ろうかな?って、気軽に取得することができないドメインの値段ですね。 […]
国産AWS S3サーバー さくらのBASE Storageのサービス仕様 料金はどうなる?
さくらのBASE Storageがβサービス開始しています。 ベータ版なので2月3日〜3月31日まで、フルにサービスを利用できます。 BASE Storageは、Amazon S3サービスとの互換性を維持したさくらインタ […]
Android Galaxy Note 2をroot化してしまった事への後悔!悲劇な話
数年前、まだiphoneにしろAndroidにしろスマートフォンがまだ国内で流行っていなかった頃 root化して、公式では遊べないあんな事やこんな事(テザリングなど)をして遊んだものです。 Android OSもバージョ […]