OpenSSLのバグ対応 | iii threetreeslight

April 9, 2014

OpenSSLのバグ対応

まずこちら。

OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性

早急に対応しましょう。

公式

OpenSSL Security Advisory [07 Apr 2014]

TLS heartbeat read overrun (CVE-2014-0160)

A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley agl@chromium.org and Bodo Moeller bmoeller@acm.org for preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.

公式:https://www.openssl.org/news/secadv_20140407.txt

との事で、Only 1.0.1 and 1.0.2-beta releases のopen SSLは要注意

CentOS

まずバージョンを確認

$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

はいアウトー。

$ yum list update
openssl.x86_64                                         1.0.1e-16.el6_5.7                                updates
openssl-devel.x86_64                                   1.0.1e-16.el6_5.7                                updates

おっ、きたきた。

$ sudo yum update -y openssl

とりあえず対応

Mac

$ openssl version
OpenSSL 0.9.8y 5 Feb 2013

macは大丈夫ね。

で、他にも

openssl使ってローカルでcompileしているようなヤーツーとかは全てupdateしなおさないといけない。

サーバー立て直してchefるカー。。。

参考

opensslのバージョン確認とアップデート