OpenSSL の CVE-2014-0160 (Heartbleed バグ) と Red Hat Storage (RHS)

Solution Verified - Updated -

Environment

  • Red Hat Storage 2.1.2 は影響を受けます。
    • 影響を受ける openssl のバージョンは openssl-1.0.1e-15.el6 から openssl-1.0.1e-16.el6_5.4 になります。
  • Red Hat Storage 2.0 は影響を受けません。
  • 影響を受けるその他の製品については https://access.redhat.com/site/announcements/781953 を参照してください。

Issue

  • CVE-2014-0160 は Red Hat Storage に影響を及ぼしますか?
  • openssl の heartbleed バグへの修正版が必要です。

Resolution

  • Red Hat は、この問題が公開される前の exploit コードの存在については認識していません。ただし、この問題が公開された直後に多くの exploit が公開されています。この exploit により、OpenSSL を使用したアプリケーションによって処理される情報 (認証情報が含まれるプライベートキー、セッショントークン、ユーザーが提供したデータ) が開示されます。ご利用中のシステムが影響を受けるかどうかを確認し、影響を受ける場合には適切なバージョンにバージョンアップされることが推奨されます。追加の改善手順の詳細については、How to recover from the Heartbleed OpenSSL vulnerability) を参照してください。

  • この問題が修正されている openssl-1.0.1e-16.el6_5.7 (RHSA-2014:0377) 以降にアップグレードすることが強く推奨されます。

    • インターネット経由で登録した Red Hat Storage システム (または Satellites などに接続したシステム) は、yum を経由してアップデートすることができます。

      yum update openssl
      
    • openssl パッケージをアップデートできたら、脆弱性に対応するために OpenSSL ライブラリ (httpd や sshd) にリンクされているレジデントプロセス (たとえば services) を再起動 (もしくはシステムを再起動) する必要があります。

    • RHS のアップデート時に一般的な追加コメントについては、Red Hat Storage Installation Guide chapter on updating を参照してください。

    • この問題を解決するために、 ISO を利用して展開する方法がありません。システムがネットワークに接続していない場合は、パッケージをシステムにコピーして手動でインストールできます。

Root Cause

  • 原因については、Security Advisory からの公式アナウンス RHSA-2014:0377 を参照してください。

    An information disclosure flaw was found in the way OpenSSL handled TLS and
    DTLS Heartbeat Extension packets.A malicious TLS or DTLS client or server
    could send a specially crafted TLS or DTLS Heartbeat packet to disclose a
    limited portion of memory per request from a connected client or server.
    Note that the disclosed portions of memory could potentially include
    sensitive information such as private keys.(CVE-2014-0160)

    [参考訳]
    OpenSSL を使用した TLS および DTLS Heartbeat Extension パケットに、
    情報漏洩の不具合が見つかりました。悪意のある TLS または DTLS
    クライアント/サーバーは、巧みに作成した TLS または DTLS Heartbeat パケットを、
    接続しているクライアントまたはサーバーから、必要に応じて
    メモリ内で限定された場所を開示します。メモリで開示されている箇所は、
    プライベートキーなど、重要な情報が保存されている可能性があります。

  • 更新版が公開されていない製品に関する進捗は、Red Hat CVE データベース CVE-2014-0160 を参照してください。

Diagnostic Steps

  • Red Hat は、お客様がこの脆弱性について自動的に確認するためのツールをご用意しました。このツールは正式なサポートツールではなく情報提供だけを目的としたものとなりますが、パッケージのアップデート後に簡単なチェックを行うことができます。

  • 影響を受けるシステムは Red Hat Storage 2.1.2 を実行しているシステム (つまり、バージョンが openssl-1.0.1e-15.el6 から openssl-1.0.1e-16.el6_5.4 までの openssl パッケージ) です。

  • 現在の openssl パッケージのバージョンを確認するには、以下のコマンドを実行してください。

    # rpm -q openssl
    openssl-1.0.1e-16.el6_5.4.x86_64
    

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.