鱒身(Masu_mi)のブログ

知った事をメモする場所。

OpenSSLを1.0.1hにした(CCSインジェクション対策)

先日OpenSSLの致命的な脆弱性がまた見つかりました (CVE-2014-0224)Heart Bleed(CVE-2014-0160) から大して時間が経っていないのに立て続けですね。

アタック可能なパターンを調べている方がいました。

そして解説はこちら

個人のMBA, 個人のサーバで対策しました。

MBA(10.7.5)での対応。そろそろバージョン上げないとな… appleの対応までバイナリ置き換えてみた、でも curl とかは直接 /usr/lib/.. をロードするのでver. は上がらない。 今回の危険なver. から外れるらしいけどapple対応してくれないかな。

あとChrome とかはリンクしてバイナリに含まれちゃってるから対処しようがない。

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.7.5
BuildVersion:   11G63
$ brew update
$ brew upgrade openssl
$ brew link --force openssl
$ sudo rm /usr/bin/openssl
$ ln -s /usr/local/bin/openssl /usr/bin/openssl

個人サーバ(CentOS release 6.4 (Final))では以下をした。

$ yum info openssl
$ sudo yum update -y openssl
$ yum info openssl
Installed Packages
Name        : openssl
Arch        : x86_64
Version     : 1.0.1e
Release     : 16.el6_5.14
Size        : 4.0 M
Repo        : installed
$ shutdown -r now

opensslの1.0.11h以上が安全だけど yumはバックポートされていて上記のバージョンで対応済みになっている

homebrew,yum に対応pkgが既にあって本当に良かったです。楽に対応出来ました。 SSLアクセラレータとかハードウェアを利用しているサービスや会社は多いし大変だなーって思います。

coqによって発見された様ですね。 定理証明系って憧れはあれど触れた事がなくて、こういう成果をみるとかっこいいって思いますね。