はじめに

お使いのシステムが CVE-2014-0160 OpenSSL セキュリティの脆弱性 (通称 Heartbleed) の影響を受けていると考えられる場合は、影響を受けている可能性のあるすべてのシステムに含まれる OpenSSL を最初にアップデートしてください。影響を受けるすべての製品に対して、Red Hat は修正を提供しています。

• Red Hat Enterprise Linux advisory
• Red Hat Enterprise Virtualization Hypervisor advisory
• Red Hat Storage advisory

その他のすべての Red Hat 製品に含まれる OpenSSL はバージョンが古く、攻撃者が利用できる機能が露出されないため、この問題の影響を受けません。RHEL 上で動作する製品 (Red Hat Satellite、OpenStack、OpenShift など) をご利用の場合は、RHEL システムを保護するために上述の手順を実施してください。システムをアップデートしたら、Red Hat が提供する Heartbleed Detector を使用すれば修正がきちんと適用されていることを確認できます。

Red Hat は、この問題が公開される前の exploit コードの存在については認識していません。ただし、この問題が公開された直後に多くの exploit が公開されています。この exploit により、OpenSSL を使用したアプリケーションによって処理される情報 (認証情報が含まれるプライベートキー、セッショントークン、ユーザーが提供したデータ) が開示されます。

複数のセキュリティの研究者から、この不具合の影響を受ける nginx サーバーからプライベートキーを取得することができることが報告されました。ただし、プライベートキーが Apache httpd サーバーから取得できることは報告されていません。nginx に対する攻撃は、 システムを再起動した直後に成功したことが報告されています。したがって、プライベートキーは初期化されていないヒープメモリに保存され取得できます。

ご利用中のシステムが影響を受けるかどうかを確認し、影響を受ける場合には適切な手段、たとえば SSL キーを交換することが推奨されます。

SSL キーの交換

システムが脆弱な状態ではなくなったので、以下に記す方法で、不正にアクセスされていた SSL キーを交換することが強く推奨されます。

自己署名済み証明書

自己署名証明書を使用している場合は、以下の手順を使用して証明書を再生成する必要があります。

1. How to create a Certificate Signing Request with a Certificate Authority
2. How to apply the Certificate Authority signed certificate

CA が生成した証明書

CA 署名認証局から署名付きの証明書を受け取ったら、新しい証明書を生成するベンダーと連携する必要があります。

Red Hat 製品で SSL 証明書をアップデートする

Red Hat 製品の多くは、SSL 証明書を使用してキーサービスを保護するように設定されています。新しい証明書およびキーを作成または受領した後は、以下のガイドに従って、生成した新しい証明書を利用して設定をアップデートします。

Red Hat Enterprise Virtualization

Replacing the SSL certificate used by RHEV Manager for HTTPS connections (RHEV 3.0, 3.1, 3.2, and 3.3)

Red Hat Storage

Red Hat Storage Configuring SSL

Red Hat Satellite

How do I update my Red Hat Network Proxy or Satellite Server SSL keys and certificates?

OpenLDAP server on Red Hat Enterprise Linux with SSL

How to configure OpenLDAP server with SSL/TLS on Red Hat Enterprise Linux 6?

SSL encrypted FTP on Red Hat Enterprise Linux

How to configure vsftpd with SSL/TLS on Red Hat Enterprise Linux

Red Hat Update Infrastructure

Configuring Red Hat Update Appliance SSL Certificates

OpenShift Enterprise

OpenShift SSL Certificates

Red Hat Enterprise Linux OpenStack Platform

OpenStack Configuring TLS/SSL

Configure HTTPD to use SSL

OpenStack Nova Configuring TLS/SSL

OpenStack Glance Configuring TLS/SSL

OpenStack Configuring SSL for Block Storage

OpenStack Testing that SSL certificates are set up correctly

Web サーバー

web サーバーで OpenSSL を使用している場合、たとえば mod_ssl および Apache httpd を使用している場合に、リモートの攻撃者がこの不具合を使用してメモリーに保存されているセッショントークンと平文テキストのユーザー信用情報に不正アクセスすることができます。この不具合の影響を受けるサーバーからセッショントークンを攻撃者が自動的に取得できるツールが一般公開されています。

セッショントークンと信用情報が、OpenSSL を実行している web サーバーで不正にアクセスされている可能性がある場合は、以下の追加修正手順を実行することが推奨されます。

1. web サーバーですべてのユーザーをログアウトして、セッションのトークンキャッシュを削除します。これは、通常、httpd サービスを再起動することで実行できます。
2. オプション: ユーザーのパスワードをすべてリセットします。

この変更により侵入が可能になるため、それを実行しない危険性と、この手順を実行するコストを比較して評価することが推奨されます。

追加手順

特定の環境をお使いの場合は、追加手順が必要な場合があります。公開インターネットやイントラネットなどのアイテムによって、攻撃者が攻撃する対象が決まります。たとえば、ユーザーがログインする必要がある公開 web サイトをホストしている場合に、ユーザーがパスワードを変更するように設定します。