[AmazonLinux] OpenSSLの脆弱性(CVE-2015-1793)について
はじめに
AWSチームの鈴木です。
2015年7月9日、OpenSSLの新しい脆弱性について情報が公開されました。
OpenSSL Security Advisory [9 Jul 2015]
脆弱性について
OpenSSLのバージョン「1.0.2c, 1.0.2b, 1.0.1n, 1.0.1o」について、脆弱性により 不正なSSL証明書を利用した偽サイトを真サイトと誤判定し、中間者攻撃が成立するリスクがあるとされています。
Amazon Linuxへの影響
Amazon Linuxのリポジトリにて、2015年6月〜7月の間に配布されていた 「openssl-1.0.1k-10.86.amzn1」が、CVE-2015-1793の影響を受けるバージョンとなります。
「openssl-1.0.1k-10.86.amzn1」が公開された、2015年6月15日以降 「yum update」などで、OpenSSLを当時の最新版にアップデートしたAmazon Linux 2015.03 環境が 該当します。
- 脆弱性を含む「openssl-1.0.1k-10.86」を含むパッチのリリース ALAS-2015-550
-
脆弱性が修正された「openssl-1.0.1k-10.87」を含むパッチのリリース ALAS-2015-564
尚、2015年7月10日現在、新規に起動したAmazonLinux環境については、「cloud-init」を無効にしていない場合、 重要なセキュリティパッチ適用が自動で実施されますので、追加対応は不要です。
- cloud-init によるアップデート例
$ sudo grep openssl /var/log/cloud-init-output.log ---> Package openssl.x86_64 1:1.0.1k-1.82.amzn1 will be updated ---> Package openssl.x86_64 1:1.0.1k-10.87.amzn1 will be an update openssl x86_64 1:1.0.1k-10.87.amzn1 amzn-updates 1.6 M Updating : 1:openssl-1.0.1k-10.87.amzn1.x86_64 1/10 Cleanup : 1:openssl-1.0.1k-1.82.amzn1.x86_64 10/10 Verifying : 1:openssl-1.0.1k-10.87.amzn1.x86_64 4/10 Verifying : 1:openssl-1.0.1k-1.82.amzn1.x86_64 8/10 openssl.x86_64 1:1.0.1k-10.87.amzn1
確認方法
yumコマンドを利用し、パッケージのバージョンを確認します。
パッチ必要
1:1.0.1k-10.86.amzn1
$ yum list installed | grep openssl openssl.x86_64 1:1.0.1k-10.86.amzn1 @amzn-updates
パッチ不要
1:1.0.1k-10.87.amzn1
$ yum list installed | grep openssl openssl.x86_64 1:1.0.1k-10.87.amzn1 @amzn-updates
パッチ適用方法
yumコマンドを利用し、アップデートが可能です。
$ sudo yum update openssl 読み込んだプラグイン:priorities, update-motd, upgrade-helper amzn-main/latest | 2.1 kB 00:00 amzn-updates/latest | 2.3 kB 00:00 classmethod/x86_64 | 2.9 kB 00:00 依存性の解決をしています --> トランザクションの確認を実行しています。 ---> パッケージ openssl.x86_64 1:1.0.1k-10.86.amzn1 を 更新 ---> パッケージ openssl.x86_64 1:1.0.1k-10.87.amzn1 を アップデート --> 依存性解決を終了しました。 依存性を解決しました ========================================================================================================================================================= Package アーキテクチャー バージョン リポジトリー 容量 ========================================================================================================================================================= 更新します: openssl x86_64 1:1.0.1k-10.87.amzn1 amzn-updates 1.6 M トランザクションの要約 ========================================================================================================================================================= 更新 1 パッケージ 総ダウンロード容量: 1.6 M Is this ok [y/d/N]: y Downloading packages: openssl-1.0.1k-10.87.amzn1.x86_64.rpm | 1.6 MB 00:00 Running transaction check Running transaction test Transaction test succeeded Running transaction 更新します : 1:openssl-1.0.1k-10.87.amzn1.x86_64 1/2 整理中 : 1:openssl-1.0.1k-10.86.amzn1.x86_64 2/2 検証中 : 1:openssl-1.0.1k-10.87.amzn1.x86_64 1/2 検証中 : 1:openssl-1.0.1k-10.86.amzn1.x86_64 2/2 更新: openssl.x86_64 1:1.0.1k-10.87.amzn1 完了しました!
まとめ
影響を受けるAmazon Linux環境は少ないと予想されますが、該当するAmazon Linux環境で、 SSL/TLSを利用されている場合には、OpenSSLパッケージのアップデートをご検討下さい。
今回脆弱性を含む「openssl-1.0.1k-10.86」から「openssl-1.0.1k-10.87」への更新については 依存関連パッケージのアップデートはありませんでしたが、 「yum update」時にライブラリパッケージなどの更新が案内された場合、 検証環境などで事前に十分な動作確認を行うことをお勧めします。