OpenSSLの脆弱性攻撃被害「Heartbleed」の更新対策と確認方法
今までOpenSSLの利用にあたって特に意識したことがなかったですね。
Apache(WEBサーバー)でSSL証明書を利用する際に、OpenSSLのライブラリが
必要だということ以外に正直あまり深く考えたことがあまりありませんでした。
■Heartbleedの脆弱性に該当するOpenSSLのバージョン
OpenSSL 1.0.1~OpenSSL 1.0.1fまで
※beta版は除く
Cent OS 5(OpenSSL0.9x)など少し古いLinux OSの場合は、今回問題となっているOpenSSLのバージョンでは
対象外なので問題はなさそうです。
最新のソースからコンパイルしてインストールしている場合は、古いLinuxでも問題のバージョンを
利用している確率が高いですね。
1台のApacheサーバーでSSL証明書を複数利用する際に、最新のOpenSSLをソースからインストール
した事がありましたが、まさにそれです。
また、Cent OS 6など最新に近いLinux OSの場合は、今回の問題に該当するのだと思います。
個人的に管理しているサーバーがこのような感じでした。
ほとんどのディストリビューションでパッチを当てた修正パッケージが公開されているので
早急にアップデートすることをおすすめします。
が、既に何らかの被害を受けていると思う場合は、OpenSSLをアップデートし
証明書を再発行しなければいけません。
一旦証明書を無効にしてもらい、再申請しないといけない・・・これは相当な労力かもしれませんね。
■OpenSSL 最新版ダウンロード
www.openssl.org/
■OpenSSL 脆弱性設定確認ツール
www.ssllabs.com/ssltest/
(脆弱性対応前)
This server is vulnerable to the Heartbleed attack.
(脆弱性対応後)
This server is not vulnerable to the Heartbleed attack.
インターネット上では、今回の脆弱性を含んだサーバーを自動で収集するツールが
公開されているそうです。
上記ツールで脆弱性がOFFになっていることを確認し、早急に対処したほうが良さそうですね。
上記のツールで危険レベルMAXでした。
ツールではその他の脆弱性も見つけてくれます。
This server does not mitigate the CRIME attack.
This server supports SSL 2, which is obsolete and insecure.
The server supports only older protocols, but not the current best TLS 1.2.
The server does not support Forward Secrecy with the reference browsers.
関連記事
Google 日本語入力 パソコンとスマートフォン・モバイルで辞書を共有する
会社や自宅のパソコンで「Google 日本語入力」を利用している場合 それぞれのパソコン端末間で辞書(学習、各設定)を同期してくれないかな~って思う時があった。 今までの自分流の流れは 「Google 日本語入力」から辞 […]
こどもの国 (人気レジャースポット/夏冬GW/連休/家族旅行/デート)
こどもの国は、横浜市青葉区にあります。 社会福祉法人こどもの国教会が、運営する児童厚生施設です。 すべてを子どものために作られた施設で、自然の中で思い切り走り回ったり体験したり、感じたりすることができると口コミでも評判で […]
いまさら誰にも聞けないパソコンの使い方!CPUはパソコンの頭脳
パソコンを自作するときにはさまざまなパーツが必要になります。 CPUもその1つです。 セントラル・プロセッシング・ユニットを略した言葉で、日本語では中央演算装置になります。 CPUはパソコンの頭脳と言えるでしょう。 これ […]