脆弱性対応時の確認方法について【Amazon Linux、RHEL/CentOS編】

こんちには。iriharaです。久しぶりの投稿になります。
ここ最近、OpenSSLなどで脆弱性が次々と明らかになり、その度に、情報収集などの対応に追われている
システム管理者の方々も多いのではないでしょうか。

脆弱性が明らかになった場合、各ベンダーから修正版がリリースされ、それを稼働中のサーバに
適用する必要に迫られるケースもあると思います。

RHELやCentOS、debianなどのOSベンダーでも、その都度対応版がリリースされたり、対応方法について
告知されます。

RHEL/CentOSの場合、対応版がリリースされているのかについての確認方法としては、yumコマンドなどで確認可能です。
下記の例では、「Installed Packages」が現在インストールされているパッケージになり、「Available Packages」に
表示されているものが、アップデート可能なパッケージになります。

rpmコマンドでもインストールされているパッケージは確認して下さい。

◆yumでの確認方法

確認したところ、新しいパッケージがリリースされているので、これをアップデートして適用すれば万事OKなのでしょうか？
その前に確認すべきことがあります。

それは、「アップデート版で本当に脆弱性の修正がされているのか？」です。

また、いきなり本稼働しているシステムに適用するのは、リスクが伴います。
その前に、何を修正されているのか、予め確認した方が良いです。
そのためには、以下のように予めパッケージをインストールせずにダウンロードすれば、確認することができます。

※yumdownloaderコマンドを使用するためには、予めyum-utilsパッケージをインストールしておく必要があります。
必要に応じてインストールして下さい。

パッケージをダウンロードできたことを確認します。

以下の方法で、このダウンロードしたパッケージが、本当に脆弱性に対応しているのか、
今までに対応した修正履歴が確認できます。

～　長いので以下省略します。　～

一番最新の「CVE-2014-3566」について確認したところ、POODLEという脆弱性の件だということがわかりました。

また、AmazonのAWSでは以下のように対策について告知していました。
（ちなみに、今回はAmazon Linuxで確認を行いました。）

その他、RedHatでは以下のような情報を告知していました。

現在インストールされているOpenSSLの内容についても確認を行います。
差分比較ソフトを使用すれば、簡単に確認できます。
（現在インストールされているバージョンには既に、CVE-2014-3566の修正はされているようです。）

～　長いので以下省略します。　～

アップデートが必要な場合は、yum update opensslなどと実行すれば、アップデートされます。

ここまでは、ごく簡単なアップデート方法について紹介させて頂きましたが、
修正版の内容によっては、アップデートするだけではなく、アプリケーション側での再設定・修正作業やサーバの
再起動などが必要になるケースも多々あります。
（今回のOpenSSLの脆弱性の場合、使用しているサーバ側のアプリケーションやクライアントでの修正作業が必要になります。）

また、注意点としては、古いOSの場合、上記のような方法で確認すると、アップデート版がリリースされていても、
よくよく確認してみると、対象のCVEが含まれていないケースがあります。
その場合は、以下のようなサイトからソースファイルをダウンロードして再インストールを行う必要があります。
（実際にどのバージョンが、どう修正されているのかについては、サイトで確認して下さい。）

その他、実際に作業を行う前に、AWSのようなクラウド環境ならば、予め検証環境を構築して、
動作確認なども行う事も非常に容易ですし、実環境サーバのスナップショットなどを取得しておけば、
有事の際に切り戻すことも可能ですので、皆さんもこれを機会に是非お試し下さい。

※ちなみに、CVEとは、様々なソフトウェアの保安上の弱点(脆弱性)についての情報を収集・公開している、世界的に
著名なデータベースの一つだそうです。

以上