OpenSSLを1.0.1hにした(CCSインジェクション対策)
先日OpenSSLの致命的な脆弱性(CVE-2014-0224)がまた見つかりました 。 Heart Bleed(CVE-2014-0160)から たいして時間が経っていないのに立て続けですね。coqによって発見された様です。
アタック可能なパターンを調べている方がいました。 そして解説も見つけました。 助かります。
個人のMBA(10.7.5), 個人のサーバで対策しました。 appleの対応までバイナリ置き換えたけどcurlは直接/usr/lib/.. をロードするのでバージョンを上げられない。 今回の危険なバージョンから外れるらしいけどapple対応してくれないかな。
あとChromeとかはリンクしてバイナリに含まれちゃってるから対処しようがない。
|
|
個人サーバ(CentOS release 6.4 (Final))では以下をした。
|
|
opensslの1.0.11h以上が安全だけど yumはバックポートされていて上記のバージョンで対応済みになっている。
homebrew,yumに対応pkgが既にあって本当に良かったです。楽に対応出来ました。