OpenSSLを1.0.1hにした(CCSインジェクション対策)

Posted on One min read

先日OpenSSLの致命的な脆弱性(CVE-2014-0224)がまた見つかりました 。 Heart Bleed(CVE-2014-0160)から たいして時間が経っていないのに立て続けですね。coqによって発見された様です。

アタック可能なパターンを調べている方がいました。 そして解説も見つけました。 助かります。

個人のMBA(10.7.5), 個人のサーバで対策しました。 appleの対応までバイナリ置き換えたけどcurlは直接/usr/lib/.. をロードするのでバージョンを上げられない。 今回の危険なバージョンから外れるらしいけどapple対応してくれないかな。

あとChromeとかはリンクしてバイナリに含まれちゃってるから対処しようがない。

1
2
3
4
5
6
7
8
9

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.7.5
BuildVersion:   11G63
$ brew update
$ brew upgrade openssl
$ brew link --force openssl
$ sudo rm /usr/bin/openssl
$ ln -s /usr/local/bin/openssl /usr/bin/openssl

個人サーバ(CentOS release 6.4 (Final))では以下をした。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

$ yum info openssl
$ sudo yum update -y openssl
$ yum info openssl
Installed Packages
Name        : openssl
Arch        : x86_64
Version     : 1.0.1e
Release     : 16.el6_5.14
Size        : 4.0 M
Repo        : installed
$ shutdown -r now

opensslの1.0.11h以上が安全だけど yumはバックポートされていて上記のバージョンで対応済みになっている

homebrew,yumに対応pkgが既にあって本当に良かったです。楽に対応出来ました。

comments powered by Disqus