【重要】まだなら直ぐに対応を - 『ハートブリード』バグ対策を行う

Heartbleed - ハートブリード

OpenSSL の脆弱性がレポートされています。
危険度MAXの脆弱性のようですので、まだ対策していない場合すぐにアップデートしましょう。

はじめに

昨日(2014/4/8) 、OpenSSLに新たな脆弱性が見つかった旨レポート ( The Heartbleed Bug ) がなされました。

暗号化データが危険に、「ハートブリード」バグ によると

OpenSSLに発見されたバグ、通称「ハートブリード(Heartbleed)」は、メモリ上にあるパスワードなどの情報を不法に取得することを可能にする。

セキュリティー専門家が実験したところ、このバグを利用してヤフー(Yahoo)のパスワードを入手することが可能だった。米ヤフーは8日、声明を発表し、同社の主要なサイトではこの問題を修復したと述べている。

との事

各所で話題になっていますが、かなり重篤な脆弱性で早急な対策が必要です。

弊社Webサイトでは現状不特定多数の個人情報等、重要な機密情報を外部サーバに保存しているといった事はありませんが、早速対策を行いました。

利用者側の対策

この記事はサーバ管理者側の視点での対策になっています。
利用者側の視点からの対策については別記事に記載したので、よければこちらも参照下さい。

対応策

Amazon Linux

弊社サイトは周知のとおり AWS (EC2) 上に構築していますが、Amazon Linux ではすぐに対応が行われており、yum でのアップデートが可能な状態になっています。

※まだの方は対策しておきましょう。

$ sudo yum update
読み込んだプラグイン:priorities, update-motd, upgrade-helper
amzn-main/latest                                                    | 2.1 kB     00:00
amzn-updates/latest                                                 | 2.3 kB     00:00
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ openssl.x86_64 1:1.0.1e-37.64.amzn1 を 更新
---> パッケージ openssl.x86_64 1:1.0.1e-37.66.amzn1 を アップデート
--> 依存性解決を終了しました。

依存性を解決しました

===========================================================================================
 Package         アーキテクチャー
                                バージョン                      リポジトリー          容量
===========================================================================================
更新します:
 openssl         x86_64         1:1.0.1e-37.66.amzn1            amzn-updates         1.7 M

トランザクションの要約
===========================================================================================
更新  1 パッケージ

総ダウンロード容量: 1.7 M
Is this ok [y/d/N]: y
Downloading packages:
openssl-1.0.1e-37.66.amzn1.x86_64.rpm                               | 1.7 MB     00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  更新します              : 1:openssl-1.0.1e-37.66.amzn1.x86_64                        1/2
  整理中                  : 1:openssl-1.0.1e-37.64.amzn1.x86_64                        2/2
  検証中                  : 1:openssl-1.0.1e-37.66.amzn1.x86_64                        1/2
  検証中                  : 1:openssl-1.0.1e-37.64.amzn1.x86_64                        2/2

更新:
  openssl.x86_64 1:1.0.1e-37.66.amzn1

完了しました!

アップデート後は、関係するサービスの再起動を行ってください。(※リロードでは駄目な場合も)

$ sudo /etc/rc.d/init.d/httpd restart
$ sudo /etc/rc.d/init.d/sshd restart

他OS

既に他OSでの対応も出そろってます。

※OSに応じたアップデート方法での対策を行ってください

まとめ

上記 JVNVU#94401838 のCVSS にあるように今回の脆弱性は危険度MAX (攻撃が簡単、全ての情報が漏洩する、システムの使用は阻害されない(普通に動くので攻撃に気づきにくい))といってもよいものなので、早急に対策を行うべきです。

攻撃の証拠がログに残らないとの事なので、対策が遅れた場合、既に秘密鍵等の重要情報が漏洩している可能性も考えられます

上記アップデートを行っただけで大丈夫だったとはならない可能性もありますので、その点踏まえた対応をして頂ければと思います。

考えられる対応

  • 既存の証明書は失効させ、証明書を再発行
    各種証明機関にて今回の問題に対応した再発行を受け付けているようです。
    ※秘密鍵から作り直す事
  • パスワードの漏洩等も考慮し、パスワードも再作成・再発行

おまけ

ハートブリードに関して調べていて見つけた、ハートブリード バグのチェックを行うテストサイト Heartbleed test

弊社サイトで確認してみたところ、

All good, www.agilegroup.co.jp:443 seems not affected!

との事でした。