OpenSSLの脆弱性攻撃被害「Heartbleed」の更新対策と確認方法
今までOpenSSLの利用にあたって特に意識したことがなかったですね。
Apache(WEBサーバー)でSSL証明書を利用する際に、OpenSSLのライブラリが
必要だということ以外に正直あまり深く考えたことがあまりありませんでした。
■Heartbleedの脆弱性に該当するOpenSSLのバージョン
OpenSSL 1.0.1~OpenSSL 1.0.1fまで
※beta版は除く
Cent OS 5(OpenSSL0.9x)など少し古いLinux OSの場合は、今回問題となっているOpenSSLのバージョンでは
対象外なので問題はなさそうです。
最新のソースからコンパイルしてインストールしている場合は、古いLinuxでも問題のバージョンを
利用している確率が高いですね。
1台のApacheサーバーでSSL証明書を複数利用する際に、最新のOpenSSLをソースからインストール
した事がありましたが、まさにそれです。
また、Cent OS 6など最新に近いLinux OSの場合は、今回の問題に該当するのだと思います。
個人的に管理しているサーバーがこのような感じでした。
ほとんどのディストリビューションでパッチを当てた修正パッケージが公開されているので
早急にアップデートすることをおすすめします。
が、既に何らかの被害を受けていると思う場合は、OpenSSLをアップデートし
証明書を再発行しなければいけません。
一旦証明書を無効にしてもらい、再申請しないといけない・・・これは相当な労力かもしれませんね。
■OpenSSL 最新版ダウンロード
www.openssl.org/
■OpenSSL 脆弱性設定確認ツール
www.ssllabs.com/ssltest/
(脆弱性対応前)
This server is vulnerable to the Heartbleed attack.
(脆弱性対応後)
This server is not vulnerable to the Heartbleed attack.
インターネット上では、今回の脆弱性を含んだサーバーを自動で収集するツールが
公開されているそうです。
上記ツールで脆弱性がOFFになっていることを確認し、早急に対処したほうが良さそうですね。
上記のツールで危険レベルMAXでした。
ツールではその他の脆弱性も見つけてくれます。
This server does not mitigate the CRIME attack.
This server supports SSL 2, which is obsolete and insecure.
The server supports only older protocols, but not the current best TLS 1.2.
The server does not support Forward Secrecy with the reference browsers.
関連記事
パソコンを自作するときの失敗しないためのポイント!
パソコンを自作するときのポイントは、使用目的をはっきりさせることです。 いろいろな目的が考えられますが、サブとして使う場合は高性能のパーツはそれほど必要ないかもしれません。 サブのパソコンはメインのものの調子が悪い時や壊 […]
駐車場をお財布ケイタイ、電子マネーで決済できるようにしてほしい
駐車料金を支払おうと、精算する機械で自分の停車番号をポチポチ・・・ 料金は1500円ジャスト! ありゃ、1万円札しかない・・・(そして1万円が使えない) 根性で小銭を投入しつづけるも1430円しかない・・・ 精算前に隣の […]
謙信公祭(新潟/8月/期間/歴史)
日本の歴史の中で、最も歴史ファンが多いのは 幕末の新撰組などの頃と並んで、戦国時代だと言えるのではないでしょうか。 地域に根ざした武将が多く、その武将が何を成したか ということを、例えば、その土地に行って史跡を見たり ま […]