OpenSSLの脆弱性攻撃被害「Heartbleed」の更新対策と確認方法

今までOpenSSLの利用にあたって特に意識したことがなかったですね。

Apache（WEBサーバー）でSSL証明書を利用する際に、OpenSSLのライブラリが

必要だということ以外に正直あまり深く考えたことがあまりありませんでした。


■Heartbleedの脆弱性に該当するOpenSSLのバージョン

OpenSSL 1.0.1～OpenSSL 1.0.1fまで
※beta版は除く


Cent OS 5（OpenSSL0.9x）など少し古いLinux OSの場合は、今回問題となっているOpenSSLのバージョンでは

対象外なので問題はなさそうです。

最新のソースからコンパイルしてインストールしている場合は、古いLinuxでも問題のバージョンを

利用している確率が高いですね。

1台のApacheサーバーでSSL証明書を複数利用する際に、最新のOpenSSLをソースからインストール

した事がありましたが、まさにそれです。


また、Cent OS 6など最新に近いLinux OSの場合は、今回の問題に該当するのだと思います。

個人的に管理しているサーバーがこのような感じでした。

ほとんどのディストリビューションでパッチを当てた修正パッケージが公開されているので

早急にアップデートすることをおすすめします。


が、既に何らかの被害を受けていると思う場合は、OpenSSLをアップデートし

証明書を再発行しなければいけません。

一旦証明書を無効にしてもらい、再申請しないといけない・・・これは相当な労力かもしれませんね。


■OpenSSL 最新版ダウンロード
www.openssl.org/


■OpenSSL 脆弱性設定確認ツール
www.ssllabs.com/ssltest/


（脆弱性対応前）
This server is vulnerable to the Heartbleed attack.

（脆弱性対応後）
This server is not vulnerable to the Heartbleed attack.


インターネット上では、今回の脆弱性を含んだサーバーを自動で収集するツールが

公開されているそうです。

上記ツールで脆弱性がOFFになっていることを確認し、早急に対処したほうが良さそうですね。

上記のツールで危険レベルMAXでした。

ツールではその他の脆弱性も見つけてくれます。

This server does not mitigate the CRIME attack.

This server supports SSL 2, which is obsolete and insecure.

The server supports only older protocols, but not the current best TLS 1.2.

The server does not support Forward Secrecy with the reference browsers.