こんちには。iriharaです。
先日は、RHEL/CentOSでの脆弱性対応について紹介させて頂きましたが、今回は、debian/Ubuntuでの対応について
紹介させて頂きます。
debian/Ubuntuの場合、パッケージの確認方法が幾つかありますが、下記のサイトがRHEL/CentOSの場合との
比較が記載されていて非常に分り易いです。
□[入門編] RHELユーザーが知っておきたい、Ubuntu Serverとのコマンド・サービスの違い http://thinkit.co.jp/story/2014/01/16/4750
ここにも記載されている通り、debian/Ubuntuの場合dpkg、aptitudeなど幾つかあります。
(イメージとしては、apt⇔yum、dpkg⇔rpmのような感じでしょうか。)
ひとまず、dpkgでインストールされているパッケージを確認をします。
root@ip-172-31-14-23:~# dpkg -l | grep openssl ii openssl 1.0.1e-2+deb7u16 i386 Secure Socket Layer (SSL) binary and related cryptographic tools
では、現在インストールされているパッケージの修正履歴は、どのように確認すれば良いのでしょうか?
以下のような確認があります。
root@ip-172-31-14-23:~# aptitude changelog openssl
Get: Changelog of openssl
openssl (1.0.1e-2+deb7u16) wheezy-security; urgency=medium
* Revert patch 0003-Free-up-passed-ASN.1-structure-if-reused.patch, it
breaks nginx and doesn't have a security issue
* Add patch 0008-Fix-a-failure-to-NULL-a-pointer-freed-on-error.patch
as follow up to CVE-2015-0209
-- Kurt Roeckx Thu, 19 Mar 2015 19:03:58 +0100
openssl (1.0.1e-2+deb7u15) wheezy-security; urgency=medium
* Fix CVE-2015-0286
* Fix CVE-2015-0287
* Fix CVE-2015-0289
* Fix CVE-2015-0292
* Fix CVE-2015-0293 (not affected, SSLv2 disabled)
* Fix CVE-2015-0209
* Fix CVE-2015-0288
* Remove export ciphers from DEFAULT.
* Make DTLS always act as if read_ahead is set. This fixes a regression
introduce by the fix for CVE-2014-3571. (Closes: #775502)
* Fix error codes.
-- Kurt Roeckx Tue, 17 Mar 2015 19:11:55 +0100
~ 一部省略 ~
openssl (1.0.1e-2+deb7u13) wheezy-security; urgency=medium
* Fixes CVE-2014-3513
* Fixes CVE-2014-3567
* Add Fallback SCSV support to mitigate CVE-2014-3566
* Fixes CVE-2014-3568
-- Kurt Roeckx Wed, 15 Oct 2014 19:45:25 +0200
上記の例だと、1.0.1e-2+deb7u13というバージョンで、CVE-2014-3566の対応済であることが確認できます。
更新する必要がある場合は、aptitude openssl upgradeなどでアップデート可能です。
ここまでは、ごく簡単なアップデート方法について紹介させて頂きましたが、
修正版の内容によっては、アップデートするだけではなく、アプリケーション側での再設定・修正作業やサーバの再起動などが
必要になるケースも多々あります。
(今回のOpenSSLの脆弱性の場合、使用しているサーバ側のアプリケーションやクライアントでの修正作業が必要になります。)
また、注意点としては、古いOSの場合、上記のような方法で確認すると、アップデート版がリリースされていても、
よくよく確認してみると、対象のCVEが含まれていないケースがあります。
その場合は、以下のようなサイトからソースファイルをダウンロードして再インストールを行う必要があります。
(実際にどのバージョンが、どう修正されているのかについては、サイトで確認して下さい。)
□OpenSSL https://www.openssl.org/
その他、実際に作業を行う前に、AWSのようなクラウド環境ならば、予め検証環境を構築して、
動作確認なども行う事も非常に容易ですし、実環境サーバのスナップショットなどを取得しておけば、
有事の際に切り戻すことも可能ですので、皆さんもこれを機会に是非お試し下さい。
以上
投稿者プロフィール
最新の投稿
AWS2021.12.02AWS Graviton3 プロセッサを搭載した EC2 C7g インスタンスが発表されました。
セキュリティ2021.07.14ゼロデイ攻撃とは- セキュリティ2021.07.14マルウェアとは
- WAF2021.07.13クロスサイトスクリプティングとは?
