OpenSSLの脆弱性(CVE-2014-0160)。
個人で管理しているサーバの中で影響のあったものはAWSのEC2だった。
とりあえず、どうでもいいサーバは
$ sudo yum clean all
$ sudo yum update openssl
でサーバ再起動して対応。
問題は Amazon Linux 2013.09 が動作している、ちょっと古いサーバ。
最新版は 2014.03 で上記操作でアップデートすると
glibc のバージョンが変わってしまう。(2.12 -> 2.17)
影響範囲が見えないので、アップデートの対象を
2013.09 にバージョン固定化して openssl のみアップデート。
(2013.09用のパッケージも用意されたみたい。)
まず、 /etc/yum.conf の releasever を書き換える。
$ sudo vi /etc/yum.conf
|#releasever=latest
|releasever=2013.09
あとは
$ sudo yum clean all
$ sudo yum update openssl
$ sudo reboot
PostgreSQLを別途インストールしているサーバではPostgreSQLのリポジトリが
バージョン固定化でエラーになるので対象レポジトリから外してアップデート。
$ sudo yum --disablerepo=pgdg93 update openssl
余裕ができてから、latest に戻す予定。
(追記)
エフセキュアブログにiptablesを利用してパケットログを取るかたちで
攻撃検出する方法が載っていた。
※参考
(まとめ)
CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば
OpenSSLの脆弱性で想定されるリスク - めもおきば
OpenSSLの脆弱性(CVE-2014-0160)関連のメモをまとめてみた - piyolog
チェック方法まとめ:OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 - @IT
CVE-2014-0160 の OpenSSL の脆弱性対応 - @znz blog
(チェック)
Qualys SSL Labs - Projects / SSL Server Test
SSL Toolbox
(個別)
AWS から OpenSSL の脆弱性について AWS のサービスアップデート | アマゾン ウェブ サービス(AWS 日本語)
AWS - EC2インスタンスのOpenSSLのHartbleed Bug対応 - Qiita
ナレッジベース - サーバID サポート
Security Advisory - 脆弱性:OpenSSL Heartbleed Bug (CVE-2014-0160/CVE-2014-0346) について
(検証)
OpenSSLのHeartbleed脆弱性(CVE-2014-0160)
(関連)
OpenSSLの脆弱性 - Heartbleed について | OpenVPN.JP
エフセキュアブログ : Openssl Heartbleed 攻撃の検知について
heartbleedをiptablesで止めることについて - yasulib memo