あ、このサイト、ね。無駄にSPDYとかやるからコレ踏んじまった。openssl+nginxをリコンパイルで対処。そして対応完了したらこのサイトがSPDYじゃなくなっちまった。これについてはまたあとで…。この脆弱性、2014/4/7に発令が出たんで、早めに対処しましょう。



TLS heartbeat read overrun (CVE-2014-0160)

詳細は下記のとおり

techcrunchから要点を引用すると次のとおり。

セキュリティー研究者らが “Heartbleed“と呼ぶそのバグを悪用すると、過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、システムメモリー上にある大量のデータを暴露することが可能だ。

それで何が困るのか。サーバーのシステムメモリーには、極めて機密性の高いデータが置かれていることが多い。例えば、通信データ(ユーザー名、パスワード、クレジットカード等)を暗復号化するためのキー。つまり、アタッカーは容易に秘密の鍵を取り出すことが可能になり、傍受したデータをあたかも暗号化されていなかったかのように読むことができる。これらのキーを持てば、アタッカーが他人になりすまして本来機密性の高いサイトやサーバーに侵入することもできる。

脆弱性があるか調べる

下記のサイトで調べられるようだ。

http://filippo.io/Heartbleed/

んでまあこのサイトを信頼していいのか?って話だが、見た感じまともな(?)イタリア人技術者のようだ。とりあえずやってみると…(‘A`)

openssl-vulneration02

 

対処

opensslを1.0.1gにアップグレードする方針とする。openssl-1.0.1gを展開。

1
2
3
mv openssl-1.0.1g.tar.gz /usr/local/src
cd /usr/local/src
tar xvfz openssl-1.0.1g.tar.gz

nginxをリコンパイル

1
2
3
4
5
tar xvfz nginx-1.4.7.tar.gz
cd nginx-1.4.7
./configure --prefix=/usr/local/nginx-1.4.7 --with-http_ssl_module --with-openssl=/usr/local/src/openssl-1.0.1g --with-http_spdy_module --user=dummy --group=dummy --with-http_stub_status_module --without-http_charset_module --without-http_ssi_module --without-http_userid_module --without-http_auth_basic_module --without-http_autoindex_module --without-http_geo_module --without-http_map_module --without-http_limit_conn_module --without-http_empty_gif_module --without-http_upstream_ip_hash_module
make
make install

んで、もう一度試してみる。

openssl-vulneration01

ふぅ(にっこり)

おわり

 

One Response to opensslのTLS heartbeat read overrun (CVE-2014-0160)を対処した

  1. […] AWS – EC2インスタンスのOpenSSLのHartbleed Bug対応 – Qiita opensslのTLS heartbeat read overrun (CVE-2014-0160)を対処した | Ore no homepage […]

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Set your Twitter account name in your settings to use the TwitterBar Section.