さくらのクラウドニュース

さくらのクラウドの最新情報や、開発に役立つ技術情報をお届けします。

おしらせ

OpenSSLの脆弱性にご注意ください

2014年4月7日(現地発表時間)、SSLおよびTLSの暗号化ライブラリ「OpenSSL」において、セキュリティ上の重大な脆弱性が発表されました。
 
OpenSSLはオープンなSSL/TLS実装としてLinuxをはじめとするUnix系OSにおいて広く利用されています。そのため、「さくらのクラウド」や「さくらのVPS」、「専用サーバ」など、OSの管理者権限がお客様にお渡しされるサービスをご利用中の場合、お客様側での影響の調査や問題の修正などの対応が必要となる場合があります。
 

1. 概要

今回発表された脆弱性により、以下のような問題が発生します。

  • ● 脆弱性を持つバージョンを使用している場合、heartbeat extension機能に関連するソフトウェア実装上の問題によりシステムメモリ内の情報が漏えいしてしまう危険性があります

→ 秘密鍵などの重要な情報がクライアント側で取得される可能性があります。

  • ● 脆弱性を持つバージョンを使用して公開したSSL鍵は情報が漏れた可能性があります

→ 鍵の再生成・認証局への再申請を行う必要があります。

 
詳細は以下を参照ください。

 

2. OpenSSL バージョン調査方法

基本的な情報として、本脆弱性を持つOpenSSLのバージョンをまとめます。
 

バージョン系統
影響を受けるバージョン
修正バージョン
1.0.1系 1.0.1 から 1.0.1f までのリリース 1.0.1g
1.0.2-beta系 1.0.2-beta から 1.0.2-beta1 までのリリース 1.0.2-beta2 (リリース予定)

 
※上記以外のバージョン系統(0.9.X系など)には影響はありません

● 各OSでのバージョン確認方法

以下のコマンドにより、インストールされたOpenSSLのバージョンを確認できます。
 

パッケージ管理ツール
コマンド例
RPM
(RedHat / CentOS / ScientificLinux等)
rpm -q openssl
deb
(Ubuntu / Debian等)
dpkg -l libssl1.0.0
パッケージ管理システムを使用していない場合
(FreeBSD等)
openssl version

● 影響を受けるパッケージバージョン

各OSごとのパッケージの対応状況の一覧です。表記の各パッケージ以前のバージョンのパッケージがインストールされている場合は影響を受ける可能性があります。詳細はリンク先を参照ください。
 

OS
内容
Debian Wheezy(stable)以降 DSA-2896-1
stable: libssl1.0.0 1.0.1e-2+deb7u5で対応済み
testing/unstable: libssl1.0.0 1.0.1g-1で対応済み
Ubuntu 12.04.4 LTS以降 USN-2165-1
12.04: libssl1.0.0 1.0.1-4ubuntu5.12で対応済み
12.10: libssl1.0.0 1.0.1c-3ubuntu2.7 で修正
13.10: libssl1.0.0 1.0.1e-3ubuntu1.2で対応済み
RHEL 6.5 RHSA-2014:0376-1
openssl-1.0.1e-16.el6_5.7で対応済み
CentOS 6.5 CESA-2014:0376
openssl-1.0.1e-16.el6_5.7で対応済み
Scientific Linux 6.5 openssl-1.0.1e-16.el6_5.7で対応済み
FreeBSD (ports利用の場合) [ports] Revision 350548
security/openssl 1.0.1_10で対応済み
FreeBSD (freebsd-update利用の場合) FreeBSD-SA-14:06.openssl
freebsd-updateコマンドでバイナリ更新
NetBSD (pkgsrc利用の場合) security/openssl 1.0.1gで対応済み

 

3. 対応方法

主な対応方法としては、

  • 1. OpenSSLのバイナリやパッケージを脆弱性修正版に更新する
  • 2. OpenSSLのheartbeat extensionを無効化したバイナリに置き換える

の2つの方法があります。OpenSSLでは提供パッケージによる依存関係があり、これらの関係が自動的に設定されるパッケージ管理システムによる更新をおすすめします。
 
なお、修正版への更新後は、OpenSSLライブラリを使用する動作中アプリケーション(Webサーバ、FTPサーバなど)、またはOSの再起動が必要となります。

1. 脆弱性の修正版に更新する

脆弱性が修正されたバージョンのパッケージにアップデートする方法です。各パッケージ管理システムごとに以下のコマンドを実行します。手順の詳細については各OS開発元のドキュメントなどを参照ください。
 

パッケージ管理ツール
コマンド例
RPM
rpm -Uvh [パッケージ名]

または

yum update openssl
deb
apt-get upgrade [パッケージ名]

2. heartbeat extensionを無効にする

既存のバージョンをソースコードからインストールした場合、

  • -DOPENSSL_NO_HEARTBEATS

オプションを付与して再コンパイルすることでheartbeat extensionが無効となったバイナリが生成されます。これをOS内にインストールすることで問題を回避することができます。
 

4. 注意事項

本文書で挙げた情報は2014年4月10日時点での、弊社独自の調査に基づきます。影響範囲やアップデート手順などはお客様自身で調査頂くようお願いいたします。