[AmazonLinux] OpenSSLの脆弱性(CVE-2015-1793)について

アイキャッチ AWS EC2

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

AWSチームの鈴木です。

2015年7月9日、OpenSSLの新しい脆弱性について情報が公開されました。

OpenSSL Security Advisory [9 Jul 2015]

脆弱性について

OpenSSLのバージョン「1.0.2c, 1.0.2b, 1.0.1n, 1.0.1o」について、脆弱性により 不正なSSL証明書を利用した偽サイトを真サイトと誤判定し、中間者攻撃が成立するリスクがあるとされています。

Amazon Linuxへの影響

Amazon Linuxのリポジトリにて、2015年6月〜7月の間に配布されていた 「openssl-1.0.1k-10.86.amzn1」が、CVE-2015-1793の影響を受けるバージョンとなります。

「openssl-1.0.1k-10.86.amzn1」が公開された、2015年6月15日以降 「yum update」などで、OpenSSLを当時の最新版にアップデートしたAmazon Linux 2015.03 環境が 該当します。

  • 脆弱性を含む「openssl-1.0.1k-10.86」を含むパッチのリリース ALAS-2015-550

  • 脆弱性が修正された「openssl-1.0.1k-10.87」を含むパッチのリリース ALAS-2015-564

尚、2015年7月10日現在、新規に起動したAmazonLinux環境については、「cloud-init」を無効にしていない場合、 重要なセキュリティパッチ適用が自動で実施されますので、追加対応は不要です。

  • cloud-init によるアップデート例
$ sudo grep openssl /var/log/cloud-init-output.log 
---> Package openssl.x86_64 1:1.0.1k-1.82.amzn1 will be updated
---> Package openssl.x86_64 1:1.0.1k-10.87.amzn1 will be an update
 openssl             x86_64  1:1.0.1k-10.87.amzn1           amzn-updates  1.6 M
  Updating   : 1:openssl-1.0.1k-10.87.amzn1.x86_64                         1/10 
  Cleanup    : 1:openssl-1.0.1k-1.82.amzn1.x86_64                         10/10 
  Verifying  : 1:openssl-1.0.1k-10.87.amzn1.x86_64                         4/10 
  Verifying  : 1:openssl-1.0.1k-1.82.amzn1.x86_64                          8/10 
  openssl.x86_64 1:1.0.1k-10.87.amzn1   

確認方法

yumコマンドを利用し、パッケージのバージョンを確認します。

パッチ必要

1:1.0.1k-10.86.amzn1

$ yum list installed | grep openssl
openssl.x86_64                        1:1.0.1k-10.86.amzn1         @amzn-updates

パッチ不要

1:1.0.1k-10.87.amzn1

$ yum list installed | grep openssl
openssl.x86_64                        1:1.0.1k-10.87.amzn1         @amzn-updates

パッチ適用方法

yumコマンドを利用し、アップデートが可能です。

$ sudo yum update openssl 
読み込んだプラグイン:priorities, update-motd, upgrade-helper
amzn-main/latest                                                                                                                  | 2.1 kB     00:00     
amzn-updates/latest                                                                                                               | 2.3 kB     00:00     
classmethod/x86_64                                                                                                                | 2.9 kB     00:00     
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ openssl.x86_64 1:1.0.1k-10.86.amzn1 を 更新
---> パッケージ openssl.x86_64 1:1.0.1k-10.87.amzn1 を アップデート
--> 依存性解決を終了しました。

依存性を解決しました

=========================================================================================================================================================
 Package                         アーキテクチャー               バージョン                                    リポジトリー                          容量
=========================================================================================================================================================
更新します:
 openssl                         x86_64                         1:1.0.1k-10.87.amzn1                          amzn-updates                         1.6 M

トランザクションの要約
=========================================================================================================================================================
更新  1 パッケージ

総ダウンロード容量: 1.6 M
Is this ok [y/d/N]: y
Downloading packages:
openssl-1.0.1k-10.87.amzn1.x86_64.rpm                                                                                             | 1.6 MB     00:00     
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  更新します              : 1:openssl-1.0.1k-10.87.amzn1.x86_64                                                                                      1/2 
  整理中                  : 1:openssl-1.0.1k-10.86.amzn1.x86_64                                                                                      2/2 
  検証中                  : 1:openssl-1.0.1k-10.87.amzn1.x86_64                                                                                      1/2 
  検証中                  : 1:openssl-1.0.1k-10.86.amzn1.x86_64                                                                                      2/2 

更新:
  openssl.x86_64 1:1.0.1k-10.87.amzn1                                                                                                                    

完了しました!

まとめ

影響を受けるAmazon Linux環境は少ないと予想されますが、該当するAmazon Linux環境で、 SSL/TLSを利用されている場合には、OpenSSLパッケージのアップデートをご検討下さい。

今回脆弱性を含む「openssl-1.0.1k-10.86」から「openssl-1.0.1k-10.87」への更新については 依存関連パッケージのアップデートはありませんでしたが、 「yum update」時にライブラリパッケージなどの更新が案内された場合、 検証環境などで事前に十分な動作確認を行うことをお勧めします。