OpenSSL に関して、3月 19日に重大なアップデートをリリースするよと事前に予告されていた件で、予告通り 19日 (米国時間) に多数の修正が適用されたバージョンのリリースが行われましたので、自分のサーバ環境にも適用しました。
今回のリリースに関連して公開されている各バージョンと、セキュリティアドバイザリーは下記です。
アドバイザリーを確認する限り、細かい脆弱性に関する修正は行われているものの、思っていた程は重大な感じではなく、まずはひと安心でした (もちろん、修正版の適用はなるべく迅速に行うべきです)。
なお、「Severity: High (重要度 高)」 に分類されている FREAK に関連した修正 (CVE-2015-0204) に関しても、後述しますが重要度の再分類があったためにアドバイザリー上で再度掲載されただけで、脆弱性に対する修正自体はすでに過去に行われています。
今回リリースされたバージョン
- OpenSSL 1.0.2a
- OpenSSL 1.0.1m
- OpenSSL 1.0.0r
- OpenSSL 0.9.8zf
重要度が 「高」 の修正
今回リリースされた最新のアドバイザリーで重要度が 「高」 に分類されているものは下記の 2つです。
OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291)
OpenSSL 1.0.2 のみが対象ですが、無効な署名アルゴリズムが使用されることで、DoS 攻撃に悪用される可能性のある脆弱性に関する修正。
RSA silently downgrades to EXPORT_RSA [Client] (CVE-2015-0204) / Reclassified
OpenSSL 1.0.1、OpenSSL 1.0.0、OpenSSL 0.9.8 が対象になります。この脆弱性に対応する修正版のバージョンはそれぞれ下記の通り。
- OpenSSL 1.0.1k
- OpenSSL 1.0.0p
- OpenSSL 0.9.8zd
所謂 FREAK (Factoring attack on RSA-EXPORT Keys) 脆弱性として騒ぎになった件に関する修正ですが、この脆弱性自体は 2015年 1月 8日の時点ですでに修正されています(下記アドバイザリー参照)。
今回リリースされている最新版のバージョンはそれぞれ、
- OpenSSL 1.0.1m
- OpenSSL 1.0.0r
- OpenSSL 0.9.8zf
ですので、もちろんこの最新版にアップデートすれば、FREAK 脆弱性への対応は含まれます。
2015年 1月 8日時点でのアドバイザリーでは、本脆弱性の重要度が 「低」 になっていたのを、今回 「高」 として再分類した (Reclassified) という形です。
ちなみに、FREAK 対策に関しては、下記の記事を少し前に書いていますので参考まで。
OpenSSL のアップデート手順
前に下記の記事でも書いたのですが、再度 CentOS6 でのアップデート手順を。環境によって差異はあると思いますので参考までに。
今回、私の環境では、OpenSSL 1.0.1k で稼働していたものを、OpenSSL 1.0.2a に上げてみました。
# cd /usr/local/src # wget https://www.openssl.org/source/openssl-1.0.2a.tar.gz # tar zxvf openssl-1.0.2a.tar.gz # cd openssl-1.0.2a # ./config # make # make install
あとは、新しいバージョンにシンボリック・リンクを張って終わり。
# cd /usr/bin/ # cp /usr/bin/openssl /usr/bin/openssl.old # rm -f /usr/bin/openssl # ln -s /usr/local/ssl/bin/openssl
アップデートが成功していることを確認。
# openssl version OpenSSL 1.0.2a 19 Mar 2015
