2014年4月8日火曜日

OpenSSLのHeartbleed問題を解決する。CentOS 6.5編

My Heart Bleeds No More by LoveIsSoul
『OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性』
http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/
本日こちらの記事が話題になりました。

CentOSの対応状況については、本家のフォーラムが参考になります。
『heartbleed openssl bug, need 1.0.1g openssl version』
https://www.centos.org/forums/viewtopic.php?f=9&t=45814

日本語の情報だと、こちらが詳しいです。
『 CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ』
http://d.hatena.ne.jp/nekoruri/20140408/heartbleed
『Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について』
http://blog.kazuhooku.com/2014/04/heartbleedweb.html

以下は、OSがCentOS 6.5の場合のHTTPサーバの解決方法です。

Apacheの場合

# yum update openssl mod_ssl
# /etc/init.d/httpd restart

Nginxの場合

# yum update openssl nginx
# /etc/init.d/nginx restart

確認方法

openssl-1.0.1e-16.el6_5.7以上がインストールされればOKです。

# yum list installed | grep openssl
openssl.x86_64          1.0.1e-16.el6_5.7
openssl-devel.x86_64    1.0.1e-16.el6_5.7

# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
とくに、OpenSSLのバージョンは変わっていないので注意。

正しくアップデートされたかどうか、こちらのページでチェックできます。
イタリアのFilippo Valsordaさんが作った『Heartbleed test』です。
http://filippo.io/Heartbleed/

例えば、フォームに”www.blogger.com”と入れて[Go!]を押します。
”All good, www.blogger.com seems not affected!”と出たらOKです。

HTTPサーバ側の設定は上記で完了です。
安全のため、証明書を再発行&再設定しておきましょう。

間違っていたら教えてください。