[AmazonLinux] OpenSSLの脆弱性(CVE-2015-1793)について

2015.07.10

はじめに

AWSチームの鈴木です。

2015年7月9日、OpenSSLの新しい脆弱性について情報が公開されました。

OpenSSL Security Advisory [9 Jul 2015]

脆弱性について

OpenSSLのバージョン「1.0.2c, 1.0.2b, 1.0.1n, 1.0.1o」について、脆弱性により 不正なSSL証明書を利用した偽サイトを真サイトと誤判定し、中間者攻撃が成立するリスクがあるとされています。

Amazon Linuxへの影響

Amazon Linuxのリポジトリにて、2015年6月〜7月の間に配布されていた 「openssl-1.0.1k-10.86.amzn1」が、CVE-2015-1793の影響を受けるバージョンとなります。

「openssl-1.0.1k-10.86.amzn1」が公開された、2015年6月15日以降 「yum update」などで、OpenSSLを当時の最新版にアップデートしたAmazon Linux 2015.03 環境が 該当します。

  • 脆弱性を含む「openssl-1.0.1k-10.86」を含むパッチのリリース ALAS-2015-550

  • 脆弱性が修正された「openssl-1.0.1k-10.87」を含むパッチのリリース ALAS-2015-564

尚、2015年7月10日現在、新規に起動したAmazonLinux環境については、「cloud-init」を無効にしていない場合、 重要なセキュリティパッチ適用が自動で実施されますので、追加対応は不要です。

  • cloud-init によるアップデート例
$ sudo grep openssl /var/log/cloud-init-output.log
---> Package openssl.x86_64 1:1.0.1k-1.82.amzn1 will be updated
---> Package openssl.x86_64 1:1.0.1k-10.87.amzn1 will be an update
openssl x86_64 1:1.0.1k-10.87.amzn1 amzn-updates 1.6 M
Updating : 1:openssl-1.0.1k-10.87.amzn1.x86_64 1/10
Cleanup : 1:openssl-1.0.1k-1.82.amzn1.x86_64 10/10
Verifying : 1:openssl-1.0.1k-10.87.amzn1.x86_64 4/10
Verifying : 1:openssl-1.0.1k-1.82.amzn1.x86_64 8/10
openssl.x86_64 1:1.0.1k-10.87.amzn1

確認方法

yumコマンドを利用し、パッケージのバージョンを確認します。

パッチ必要

1:1.0.1k-10.86.amzn1

$ yum list installed | grep openssl
openssl.x86_64 1:1.0.1k-10.86.amzn1 @amzn-updates

パッチ不要

1:1.0.1k-10.87.amzn1

$ yum list installed | grep openssl
openssl.x86_64 1:1.0.1k-10.87.amzn1 @amzn-updates

パッチ適用方法

yumコマンドを利用し、アップデートが可能です。

$ sudo yum update openssl
読み込んだプラグイン:priorities, update-motd, upgrade-helper
amzn-main/latest | 2.1 kB 00:00
amzn-updates/latest | 2.3 kB 00:00
classmethod/x86_64 | 2.9 kB 00:00
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ openssl.x86_64 1:1.0.1k-10.86.amzn1 を 更新
---> パッケージ openssl.x86_64 1:1.0.1k-10.87.amzn1 を アップデート
--> 依存性解決を終了しました。

依存性を解決しました

=========================================================================================================================================================
Package アーキテクチャー バージョン リポジトリー 容量
=========================================================================================================================================================
更新します:
openssl x86_64 1:1.0.1k-10.87.amzn1 amzn-updates 1.6 M

トランザクションの要約
=========================================================================================================================================================
更新 1 パッケージ

総ダウンロード容量: 1.6 M
Is this ok [y/d/N]: y
Downloading packages:
openssl-1.0.1k-10.87.amzn1.x86_64.rpm | 1.6 MB 00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
更新します : 1:openssl-1.0.1k-10.87.amzn1.x86_64 1/2
整理中 : 1:openssl-1.0.1k-10.86.amzn1.x86_64 2/2
検証中 : 1:openssl-1.0.1k-10.87.amzn1.x86_64 1/2
検証中 : 1:openssl-1.0.1k-10.86.amzn1.x86_64 2/2

更新:
openssl.x86_64 1:1.0.1k-10.87.amzn1

完了しました!

まとめ

影響を受けるAmazon Linux環境は少ないと予想されますが、該当するAmazon Linux環境で、 SSL/TLSを利用されている場合には、OpenSSLパッケージのアップデートをご検討下さい。

今回脆弱性を含む「openssl-1.0.1k-10.86」から「openssl-1.0.1k-10.87」への更新については 依存関連パッケージのアップデートはありませんでしたが、 「yum update」時にライブラリパッケージなどの更新が案内された場合、 検証環境などで事前に十分な動作確認を行うことをお勧めします。