こんちには。iriharaです。
先日は、RHEL/CentOSでの脆弱性対応について紹介させて頂きましたが、今回は、debian/Ubuntuでの対応について
紹介させて頂きます。
debian/Ubuntuの場合、パッケージの確認方法が幾つかありますが、下記のサイトがRHEL/CentOSの場合との
比較が記載されていて非常に分り易いです。
1 2 |
□[入門編] RHELユーザーが知っておきたい、Ubuntu Serverとのコマンド・サービスの違い http://thinkit.co.jp/story/2014/01/16/4750 |
ここにも記載されている通り、debian/Ubuntuの場合dpkg、aptitudeなど幾つかあります。
(イメージとしては、apt⇔yum、dpkg⇔rpmのような感じでしょうか。)
ひとまず、dpkgでインストールされているパッケージを確認をします。
1 2 |
root@ip-172-31-14-23:~# dpkg -l | grep openssl ii openssl 1.0.1e-2+deb7u16 i386 Secure Socket Layer (SSL) binary and related cryptographic tools |
では、現在インストールされているパッケージの修正履歴は、どのように確認すれば良いのでしょうか?
以下のような確認があります。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 |
root@ip-172-31-14-23:~# aptitude changelog openssl Get: Changelog of openssl openssl (1.0.1e-2+deb7u16) wheezy-security; urgency=medium * Revert patch 0003-Free-up-passed-ASN.1-structure-if-reused.patch, it breaks nginx and doesn't have a security issue * Add patch 0008-Fix-a-failure-to-NULL-a-pointer-freed-on-error.patch as follow up to CVE-2015-0209 -- Kurt Roeckx Thu, 19 Mar 2015 19:03:58 +0100 openssl (1.0.1e-2+deb7u15) wheezy-security; urgency=medium * Fix CVE-2015-0286 * Fix CVE-2015-0287 * Fix CVE-2015-0289 * Fix CVE-2015-0292 * Fix CVE-2015-0293 (not affected, SSLv2 disabled) * Fix CVE-2015-0209 * Fix CVE-2015-0288 * Remove export ciphers from DEFAULT. * Make DTLS always act as if read_ahead is set. This fixes a regression introduce by the fix for CVE-2014-3571. (Closes: #775502) * Fix error codes. -- Kurt Roeckx Tue, 17 Mar 2015 19:11:55 +0100 ~ 一部省略 ~ openssl (1.0.1e-2+deb7u13) wheezy-security; urgency=medium * Fixes CVE-2014-3513 * Fixes CVE-2014-3567 * Add Fallback SCSV support to mitigate CVE-2014-3566 * Fixes CVE-2014-3568 -- Kurt Roeckx Wed, 15 Oct 2014 19:45:25 +0200 |
上記の例だと、1.0.1e-2+deb7u13というバージョンで、CVE-2014-3566の対応済であることが確認できます。
更新する必要がある場合は、aptitude openssl upgradeなどでアップデート可能です。
ここまでは、ごく簡単なアップデート方法について紹介させて頂きましたが、
修正版の内容によっては、アップデートするだけではなく、アプリケーション側での再設定・修正作業やサーバの再起動などが
必要になるケースも多々あります。
(今回のOpenSSLの脆弱性の場合、使用しているサーバ側のアプリケーションやクライアントでの修正作業が必要になります。)
また、注意点としては、古いOSの場合、上記のような方法で確認すると、アップデート版がリリースされていても、
よくよく確認してみると、対象のCVEが含まれていないケースがあります。
その場合は、以下のようなサイトからソースファイルをダウンロードして再インストールを行う必要があります。
(実際にどのバージョンが、どう修正されているのかについては、サイトで確認して下さい。)
1 2 |
□OpenSSL https://www.openssl.org/ |
その他、実際に作業を行う前に、AWSのようなクラウド環境ならば、予め検証環境を構築して、
動作確認なども行う事も非常に容易ですし、実環境サーバのスナップショットなどを取得しておけば、
有事の際に切り戻すことも可能ですので、皆さんもこれを機会に是非お試し下さい。
以上
投稿者プロフィール
最新の投稿
- AWS2021年12月2日AWS Graviton3 プロセッサを搭載した EC2 C7g インスタンスが発表されました。
- セキュリティ2021年7月14日ゼロデイ攻撃とは
- セキュリティ2021年7月14日マルウェアとは
- WAF2021年7月13日クロスサイトスクリプティングとは?