昨年からHeartbleedや、POODLEなどの脆弱性が報告されている
OpenSSLのアップデート手順を紹介します。
今回アップデート手順を実施した環境は、CentOS6.5になります。
[root@Tiger ~]# cat /etc/redhat-release
CentOS release 6.5 (Final)
今回対応できる脆弱性は下記になります。
・CVE-2014-3570
攻撃者に暗号保護メカニズムを破られやすい。
・CVE-2014-3571
攻撃者が細工したDTLSメッセージを使うことで、
NULLポインタ参照とアプリケーションのクラッシュによるサービス妨害を引き起こします。
・CVE-2014-3572
ECDHE-to-ECDH ダウングレード攻撃されます。
・CVE-2014-8275
攻撃者が細工されたデータを送ることで、保護メカニズムが破られます。
・CVE-2015-0204
SA-to-EXPORT_RSA ダウングレード攻撃や、
ブルートフォース復号で、弱いRSAキーを提供します。
・CVE-2015-0205
細工されたTLS Handshake Protocol により、CertificateVerifyメッセージを
必要とせずにDiffie-Hellman (DH)証明書でクライアント認証を受け入れます。
・CVE-2015-0206
攻撃者が多くのレコードを送ることにより、
メモリリークによるサービス停止を引き起こします。
でも安心してください。プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
1.OpenSSLのバージョンを確認します。
[root@Tiger ~]# rpm -qa | grep openssl
openssl-1.0.1e-15.el6.i686
openssl098e-0.9.8e-17.el6.centos.2.i686
2.パッケージ管理システムのキャッシュをクリアします。
[root@Tiger ~]# yum clean all
3.OpenSSLのアップデート実施
[root@Tiger ~]# yum update openssl openssl-devel
4.アップデート後のOpenSSLバージョンを確認します。
[root@Tiger ~]# rpm -qa | grep openssl
openssl098e-0.9.8e-17.el6.centos.2.i686
openssl-1.0.1e-30.el6_6.5.i686
5.再起動します。
OpenSSLに関連するサービスを再起動します。
ApacheやOpenSSHが対象となります。
可能ならサーバーごと再起動した方が確実です。
[root@Tiger ~]# shutdown -r now
3,100名以上が実践した「型」を無料で公開中
プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
その「型」を図解60Pにまとめた入門マニュアルを、完全無料でプレゼントしています。
登録10秒/合わなければ解除3秒 / 詳細はこちら
この記事を書いた人
宮崎 智広(みやざき ともひろ)
株式会社イーネットマーキュリー代表。現役のLinuxサーバー管理者として15年以上の実務経験を持ち、これまでに累計3,100名以上のエンジニアを指導してきたLinux教育のプロフェッショナル。「現場で本当に使える技術」を体系的に伝えることをモットーに、実践型のLinuxセミナーの開催や無料マニュアルの配布を通じてLinux人材の育成に取り組んでいる。
趣味は、キャンプにカメラ、トラウト釣り。好きな食べ物は、ラーメンにお酒。休肝日が作れない、酒量を減らせないのが悩み。最近、ドラマ「フライトエンジェル」を観て涙腺が崩壊しました。
- 次のページへ:ntpdの脆弱性アップデート手順(CVE-2014-9298,CVE-2014-9297・・・etc)
- 前のページへ:bashの脆弱性アップデート手順(CVE-2014-6271, CVE-2014-7169)
- この記事の属するカテゴリ:Linux情報・技術・セキュリティへ戻る
無料メルマガで学習を続ける
Linuxの実践スキルをメールで毎週お届け。
登録は1分、解除もいつでも可。
登録無料・いつでも解除できます