脆弱性対応時の確認方法について【debian/Ubuntu編】

こんちには。iriharaです。
先日は、RHEL/CentOSでの脆弱性対応について紹介させて頂きましたが、今回は、debian/Ubuntuでの対応について
紹介させて頂きます。

debian/Ubuntuの場合、パッケージの確認方法が幾つかありますが、下記のサイトがRHEL/CentOSの場合との
比較が記載されていて非常に分り易いです。

□[入門編] RHELユーザーが知っておきたい、Ubuntu Serverとのコマンド・サービスの違い
http://thinkit.co.jp/story/2014/01/16/4750

1 2	□[入門編] RHELユーザーが知っておきたい、Ubuntu Serverとのコマンド・サービスの違い http://thinkit.co.jp/story/2014/01/16/4750

ここにも記載されている通り、debian/Ubuntuの場合dpkg、aptitudeなど幾つかあります。
（イメージとしては、apt⇔yum、dpkg⇔rpmのような感じでしょうか。）

ひとまず、dpkgでインストールされているパッケージを確認をします。

root@ip-172-31-14-23:~# dpkg -l | grep openssl
ii  openssl              1.0.1e-2+deb7u16              i386         Secure Socket Layer (SSL) binary and related cryptographic tools

1 2	root@ip-172-31-14-23:~# dpkg -l \| grep openssl ii openssl 1.0.1e-2+deb7u16 i386 Secure Socket Layer (SSL) binary and related cryptographic tools

では、現在インストールされているパッケージの修正履歴は、どのように確認すれば良いのでしょうか？
以下のような確認があります。

root@ip-172-31-14-23:~# aptitude changelog openssl
Get: Changelog of openssl
openssl (1.0.1e-2+deb7u16) wheezy-security; urgency=medium

  * Revert patch 0003-Free-up-passed-ASN.1-structure-if-reused.patch, it
    breaks nginx and doesn't have a security issue
  * Add patch 0008-Fix-a-failure-to-NULL-a-pointer-freed-on-error.patch
    as follow up to CVE-2015-0209

 -- Kurt Roeckx   Thu, 19 Mar 2015 19:03:58 +0100

openssl (1.0.1e-2+deb7u15) wheezy-security; urgency=medium

  * Fix CVE-2015-0286
  * Fix CVE-2015-0287
  * Fix CVE-2015-0289
  * Fix CVE-2015-0292
  * Fix CVE-2015-0293 (not affected, SSLv2 disabled)
  * Fix CVE-2015-0209
  * Fix CVE-2015-0288
  * Remove export ciphers from DEFAULT.
  * Make DTLS always act as if read_ahead is set.  This fixes a regression
    introduce by the fix for CVE-2014-3571.  (Closes: #775502)
  * Fix error codes.

 -- Kurt Roeckx   Tue, 17 Mar 2015 19:11:55 +0100

　～　一部省略　～

openssl (1.0.1e-2+deb7u13) wheezy-security; urgency=medium

  * Fixes CVE-2014-3513
  * Fixes CVE-2014-3567
  * Add Fallback SCSV support to mitigate CVE-2014-3566
  * Fixes CVE-2014-3568

 -- Kurt Roeckx   Wed, 15 Oct 2014 19:45:25 +0200

root@ip-172-31-14-23:~# aptitude changelog openssl

Get: Changelog of openssl

openssl (1.0.1e-2+deb7u16) wheezy-security; urgency=medium

* Revert patch 0003-Free-up-passed-ASN.1-structure-if-reused.patch, it

breaks nginx and doesn't have a security issue

* Add patch 0008-Fix-a-failure-to-NULL-a-pointer-freed-on-error.patch

as follow up to CVE-2015-0209

-- Kurt Roeckx Thu, 19 Mar 2015 19:03:58 +0100

openssl (1.0.1e-2+deb7u15) wheezy-security; urgency=medium

* Fix CVE-2015-0286

* Fix CVE-2015-0287

* Fix CVE-2015-0289

* Fix CVE-2015-0292

* Fix CVE-2015-0293 (not affected, SSLv2 disabled)

* Fix CVE-2015-0209

* Fix CVE-2015-0288

* Remove export ciphers from DEFAULT.

* Make DTLS always act as if read_ahead is set. This fixes a regression

introduce by the fix for CVE-2014-3571. (Closes: #775502)

* Fix error codes.

-- Kurt Roeckx Tue, 17 Mar 2015 19:11:55 +0100

　～　一部省略　～

openssl (1.0.1e-2+deb7u13) wheezy-security; urgency=medium

* Fixes CVE-2014-3513

* Fixes CVE-2014-3567

* Add Fallback SCSV support to mitigate CVE-2014-3566

* Fixes CVE-2014-3568

-- Kurt Roeckx Wed, 15 Oct 2014 19:45:25 +0200

上記の例だと、1.0.1e-2+deb7u13というバージョンで、CVE-2014-3566の対応済であることが確認できます。
更新する必要がある場合は、aptitude openssl upgradeなどでアップデート可能です。

ここまでは、ごく簡単なアップデート方法について紹介させて頂きましたが、
修正版の内容によっては、アップデートするだけではなく、アプリケーション側での再設定・修正作業やサーバの再起動などが
必要になるケースも多々あります。
（今回のOpenSSLの脆弱性の場合、使用しているサーバ側のアプリケーションやクライアントでの修正作業が必要になります。）

また、注意点としては、古いOSの場合、上記のような方法で確認すると、アップデート版がリリースされていても、
よくよく確認してみると、対象のCVEが含まれていないケースがあります。
その場合は、以下のようなサイトからソースファイルをダウンロードして再インストールを行う必要があります。
（実際にどのバージョンが、どう修正されているのかについては、サイトで確認して下さい。）