OpenSSL の CVE-2014-0160 (Heartbleed バグ) と Red Hat Enterprise Virtualization (RHEV)

Resolution

• Red Hat は、この問題が開示される前に外部で エクスプロイトコード (exploit code) が使用された事実について認識していません。ただし、この問題が開示された直後に多くの エクスプロイト (exploit) が公開されています。これらのエクスプロイトにより、OpenSSL を使用したアプリケーションによって処理される情報 (認証情報をも含むプライベートキー、セッショントークン、ユーザーが提供するデータ) の開示に繋がります。ご利用中のシステムが影響を受けるかどうかを確認し、影響を受ける場合には適切なバージョンにバージョンアップされることが推奨されます。追加の救済策は、How to recover from the Heartbleed OpenSSL vulnerability を参照してください。

警告: RHEV-M のメンテナンス中にストレージ、ホストおよびハイパーバイザー、またはゲストを開始または停止しないでください。

RHEV-H

1. RHEV-H に影響しますか?

   • この問題は rhev-hypervisor6-6.5-20140407.0.el6ev (RHSA-2014:0378 でリリース) で修正されました。

   • rhev-hypervisor6-6.5-20140407.0.el6ev 以前の すべてのバージョンの rhev-hypervisor6-6.5 は影響を受けます。

   • RHEV ハイパーバイザーの現在のバージョンは、 RHEV Manager 内から確認できます。

     • [Hosts] タブをクリックしてハイパーバイザーを選択します。
       ホストで、詳細セクションを確認できます。

       OS Version:RHEV Hypervisor - 6.5 - <VERSION WILL BE HERE>
       

   • また、このバージョンは、RHEV-H コマンドラインから手動で確認できます。

     # cat /etc/redhat-release 
     Red Hat Enterprise Virtualization Hypervisor release 6.5 (20140112.0.el6)
     

2. アップグレードを計画する前に、そのクラスターに、ハイパーバイザーが複数存在 (して仮想マシンの移行ができる) ことを確認してください。

3. ハイパーバイザーにアップグレードする方法は、Hypervisor Deployment Guide を参照してください。

RHEL ホストおよびハイパーバイザー

1. RHEL には影響しますか?

   • Red Hat Enterprise Linux 6.5 を稼働中のシステムに大抵影響することが報告されています。

   • 特に、openssl のバージョンが openssl-1.0.1e-15.el6 から openssl-1.0.1e-16.el6_5.4 である RHEL6 システムには影響します。

     • 以下のコマンドを実行するとインストールされているバージョンが確認できます。

       rpm -q openssl
       

2. RHEV-M 管理ポータルの [Hosts] タブからそのハイパーバイザーを選択し、[Maintenance] をクリックします。
   ステータスが「Maintenance」になったら先に進んでください。

3. openssl パッケージを openssl-1.0.1e-16.el6_5.7 (RHSA-2014:0376) 以降にアップデートするとこの問題が修正されます。

   • 通常通り、インターネット経由で登録したシステム (または Satellites などに接続したシステム) は、yum を経由してアップデートすることができます。

     yum update openssl
     

   • もしくは、接続したシステムを使用して openssl パッケージをダウンロードし、上述の rpm パッケージを問題の RHEL ホストに転送して手動でインストールすることでもできます。

4. openssl パッケージがアップデートできたら、RHEL ホストを再起動します。

5. RHEV-M 管理ポータルの [Hosts] タブからそのハイパーバイザーを選択し、[Activate] をクリックします。
   ステータスが「Up」になったら先に進んでください。

RHEV-M

1. RHEV-M には影響しますか?

   • Red Hat Enterprise Linux 6.5 を稼働中の RHEV-M に大抵影響することが報告されています。

   • 特に、openssl のバージョンが openssl-1.0.1e-15.el6 から openssl-1.0.1e-16.el6_5.4 である RHEL6 システムには影響します。

     • 以下のコマンドを実行するとインストールされているバージョンが確認できます。

       rpm -q openssl
       

2. RHEV-M GUI の右下の [Tasks] サブタブをクリックして、タスクを実行していないことを確認します。

3. シェルから、RHEV-M に対する 3 つのメインサービスを停止します。

   # service ovirt-engine-dwhd stop    (ONLY if reports dwh is configured and running)
   # service ovirt-engine stop
   # service postgresql stop
   

4. openssl パッケージを openssl-1.0.1e-16.el6_5.7 (RHSA-2014:0376 リリース) 以降にアップデートするとこの問題が修正されます。

   • 通常通り、インターネット経由で登録したシステム (または Satellites などに接続したシステム) は、yum を経由してアップデートすることができます。

     yum update openssl
     

   • もしくは、接続したシステムを使用して openssl パッケージをダウンロードし、上述の rpm パッケージを問題の RHEV-M に転送して手動でインストールすることでもできます。

5. RHEV-M を再起動します。

6. 再起動したら、RHEV-M が適切に動作するために、上述の 3 つのすべてのサービスが実行していることを確認します。