脆弱性対応時の確認方法について【debian/Ubuntu編】

この記事は公開されてから半年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんちには。iriharaです。
先日は、RHEL/CentOSでの脆弱性対応について紹介させて頂きましたが、今回は、debian/Ubuntuでの対応について
紹介させて頂きます。

debian/Ubuntuの場合、パッケージの確認方法が幾つかありますが、下記のサイトがRHEL/CentOSの場合との
比較が記載されていて非常に分り易いです。

□[入門編] RHELユーザーが知っておきたい、Ubuntu Serverとのコマンド・サービスの違い
http://thinkit.co.jp/story/2014/01/16/4750

ここにも記載されている通り、debian/Ubuntuの場合dpkg、aptitudeなど幾つかあります。
(イメージとしては、apt⇔yum、dpkg⇔rpmのような感じでしょうか。)

ひとまず、dpkgでインストールされているパッケージを確認をします。

root@ip-172-31-14-23:~# dpkg -l | grep openssl
ii  openssl              1.0.1e-2+deb7u16              i386         Secure Socket Layer (SSL) binary and related cryptographic tools

では、現在インストールされているパッケージの修正履歴は、どのように確認すれば良いのでしょうか?
以下のような確認があります。

root@ip-172-31-14-23:~# aptitude changelog openssl
Get: Changelog of openssl
openssl (1.0.1e-2+deb7u16) wheezy-security; urgency=medium

  * Revert patch 0003-Free-up-passed-ASN.1-structure-if-reused.patch, it
    breaks nginx and doesn't have a security issue
  * Add patch 0008-Fix-a-failure-to-NULL-a-pointer-freed-on-error.patch
    as follow up to CVE-2015-0209

 -- Kurt Roeckx   Thu, 19 Mar 2015 19:03:58 +0100

openssl (1.0.1e-2+deb7u15) wheezy-security; urgency=medium

  * Fix CVE-2015-0286
  * Fix CVE-2015-0287
  * Fix CVE-2015-0289
  * Fix CVE-2015-0292
  * Fix CVE-2015-0293 (not affected, SSLv2 disabled)
  * Fix CVE-2015-0209
  * Fix CVE-2015-0288
  * Remove export ciphers from DEFAULT.
  * Make DTLS always act as if read_ahead is set.  This fixes a regression
    introduce by the fix for CVE-2014-3571.  (Closes: #775502)
  * Fix error codes.

 -- Kurt Roeckx   Tue, 17 Mar 2015 19:11:55 +0100

 ~ 一部省略 ~

openssl (1.0.1e-2+deb7u13) wheezy-security; urgency=medium

  * Fixes CVE-2014-3513
  * Fixes CVE-2014-3567
  * Add Fallback SCSV support to mitigate CVE-2014-3566
  * Fixes CVE-2014-3568

 -- Kurt Roeckx   Wed, 15 Oct 2014 19:45:25 +0200

上記の例だと、1.0.1e-2+deb7u13というバージョンで、CVE-2014-3566の対応済であることが確認できます。
更新する必要がある場合は、aptitude openssl upgradeなどでアップデート可能です。

ここまでは、ごく簡単なアップデート方法について紹介させて頂きましたが、
修正版の内容によっては、アップデートするだけではなく、アプリケーション側での再設定・修正作業やサーバの再起動などが
必要になるケースも多々あります。
(今回のOpenSSLの脆弱性の場合、使用しているサーバ側のアプリケーションやクライアントでの修正作業が必要になります。)

また、注意点としては、古いOSの場合、上記のような方法で確認すると、アップデート版がリリースされていても、
よくよく確認してみると、対象のCVEが含まれていないケースがあります。
その場合は、以下のようなサイトからソースファイルをダウンロードして再インストールを行う必要があります。
(実際にどのバージョンが、どう修正されているのかについては、サイトで確認して下さい。)

□OpenSSL
https://www.openssl.org/

その他、実際に作業を行う前に、AWSのようなクラウド環境ならば、予め検証環境を構築して、
動作確認なども行う事も非常に容易ですし、実環境サーバのスナップショットなどを取得しておけば、
有事の際に切り戻すことも可能ですので、皆さんもこれを機会に是非お試し下さい。

以上

コメントを残す

メールアドレスが公開されることはありません。

Time limit is exhausted. Please reload CAPTCHA.