脆弱性対応時の確認方法について【debian/Ubuntu編】

こんちには。iriharaです。
先日は、RHEL/CentOSでの脆弱性対応について紹介させて頂きましたが、今回は、debian/Ubuntuでの対応について
紹介させて頂きます。

debian/Ubuntuの場合、パッケージの確認方法が幾つかありますが、下記のサイトがRHEL/CentOSの場合との
比較が記載されていて非常に分り易いです。

ここにも記載されている通り、debian/Ubuntuの場合dpkg、aptitudeなど幾つかあります。
（イメージとしては、apt⇔yum、dpkg⇔rpmのような感じでしょうか。）

ひとまず、dpkgでインストールされているパッケージを確認をします。

では、現在インストールされているパッケージの修正履歴は、どのように確認すれば良いのでしょうか？
以下のような確認があります。

上記の例だと、1.0.1e-2+deb7u13というバージョンで、CVE-2014-3566の対応済であることが確認できます。
更新する必要がある場合は、aptitude openssl upgradeなどでアップデート可能です。

ここまでは、ごく簡単なアップデート方法について紹介させて頂きましたが、
修正版の内容によっては、アップデートするだけではなく、アプリケーション側での再設定・修正作業やサーバの再起動などが
必要になるケースも多々あります。
（今回のOpenSSLの脆弱性の場合、使用しているサーバ側のアプリケーションやクライアントでの修正作業が必要になります。）

また、注意点としては、古いOSの場合、上記のような方法で確認すると、アップデート版がリリースされていても、
よくよく確認してみると、対象のCVEが含まれていないケースがあります。
その場合は、以下のようなサイトからソースファイルをダウンロードして再インストールを行う必要があります。
（実際にどのバージョンが、どう修正されているのかについては、サイトで確認して下さい。）

その他、実際に作業を行う前に、AWSのようなクラウド環境ならば、予め検証環境を構築して、
動作確認なども行う事も非常に容易ですし、実環境サーバのスナップショットなどを取得しておけば、
有事の際に切り戻すことも可能ですので、皆さんもこれを機会に是非お試し下さい。

以上