Heartbleed OpenSSL 脆弱性に対応する
はじめに
お使いのシステムが CVE-2014-0160 OpenSSL セキュリティの脆弱性 (通称 Heartbleed) の影響を受けていると考えられる場合は、影響を受けている可能性のあるすべてのシステムに含まれる OpenSSL を最初にアップデートしてください。影響を受けるすべての製品に対して、Red Hat は修正を提供しています。
- Red Hat Enterprise Linux advisory
- Red Hat Enterprise Virtualization Hypervisor advisory
- Red Hat Storage advisory
その他のすべての Red Hat 製品に含まれる OpenSSL はバージョンが古く、攻撃者が利用できる機能が露出されないため、この問題の影響を受けません。RHEL 上で動作する製品 (Red Hat Satellite、OpenStack、OpenShift など) をご利用の場合は、RHEL システムを保護するために上述の手順を実施してください。システムをアップデートしたら、Red Hat が提供する Heartbleed Detector を使用すれば修正がきちんと適用されていることを確認できます。
Red Hat は、この問題が公開される前の exploit コードの存在については認識していません。ただし、この問題が公開された直後に多くの exploit が公開されています。この exploit により、OpenSSL を使用したアプリケーションによって処理される情報 (認証情報が含まれるプライベートキー、セッショントークン、ユーザーが提供したデータ) が開示されます。
複数のセキュリティの研究者から、この不具合の影響を受ける nginx サーバーからプライベートキーを取得することができることが報告されました。ただし、プライベートキーが Apache httpd サーバーから取得できることは報告されていません。nginx に対する攻撃は、 システムを再起動した直後に成功したことが報告されています。したがって、プライベートキーは初期化されていないヒープメモリに保存され取得できます。
ご利用中のシステムが影響を受けるかどうかを確認し、影響を受ける場合には適切な手段、たとえば SSL キーを交換することが推奨されます。
SSL キーの交換
システムが脆弱な状態ではなくなったので、以下に記す方法で、不正にアクセスされていた SSL キーを交換することが強く推奨されます。
自己署名済み証明書
自己署名証明書を使用している場合は、以下の手順を使用して証明書を再生成する必要があります。
- How to create a Certificate Signing Request with a Certificate Authority
- How to apply the Certificate Authority signed certificate
CA が生成した証明書
CA 署名認証局から署名付きの証明書を受け取ったら、新しい証明書を生成するベンダーと連携する必要があります。
Red Hat 製品で SSL 証明書をアップデートする
Red Hat 製品の多くは、SSL 証明書を使用してキーサービスを保護するように設定されています。新しい証明書およびキーを作成または受領した後は、以下のガイドに従って、生成した新しい証明書を利用して設定をアップデートします。
Red Hat Enterprise Virtualization
Red Hat Storage
Red Hat Storage Configuring SSL
Red Hat Satellite
How do I update my Red Hat Network Proxy or Satellite Server SSL keys and certificates?
OpenLDAP server on Red Hat Enterprise Linux with SSL
How to configure OpenLDAP server with SSL/TLS on Red Hat Enterprise Linux 6?
SSL encrypted FTP on Red Hat Enterprise Linux
How to configure vsftpd with SSL/TLS on Red Hat Enterprise Linux
Red Hat Update Infrastructure
Configuring Red Hat Update Appliance SSL Certificates
OpenShift Enterprise
Red Hat Enterprise Linux OpenStack Platform
OpenStack Nova Configuring TLS/SSL
OpenStack Glance Configuring TLS/SSL
OpenStack Configuring SSL for Block Storage
OpenStack Testing that SSL certificates are set up correctly
Web サーバー
web サーバーで OpenSSL を使用している場合、たとえば mod_ssl および Apache httpd を使用している場合に、リモートの攻撃者がこの不具合を使用してメモリーに保存されているセッショントークンと平文テキストのユーザー信用情報に不正アクセスすることができます。この不具合の影響を受けるサーバーからセッショントークンを攻撃者が自動的に取得できるツールが一般公開されています。
セッショントークンと信用情報が、OpenSSL を実行している web サーバーで不正にアクセスされている可能性がある場合は、以下の追加修正手順を実行することが推奨されます。
- web サーバーですべてのユーザーをログアウトして、セッションのトークンキャッシュを削除します。これは、通常、httpd サービスを再起動することで実行できます。
- オプション: ユーザーのパスワードをすべてリセットします。
この変更により侵入が可能になるため、それを実行しない危険性と、この手順を実行するコストを比較して評価することが推奨されます。
追加手順
特定の環境をお使いの場合は、追加手順が必要な場合があります。公開インターネットやイントラネットなどのアイテムによって、攻撃者が攻撃する対象が決まります。たとえば、ユーザーがログインする必要がある公開 web サイトをホストしている場合に、ユーザーがパスワードを変更するように設定します。
Comments