Translated message

A translation of this page exists in English.

Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

OpenSSL の CVE-2014-0160 (Heartbleed バグ) と Red Hat Enterprise Virtualization (RHEV)

Solution Verified - Updated -

Environment

Issue

  • CVE-2014-0160 は Red Hat Enterprise Virtualization に影響を及ぼしますか?
  • RHEV では、openssl の heartbleed バグへの修正版が必要です。

Resolution

  • Red Hat は、この問題が開示される前に外部で エクスプロイトコード (exploit code) が使用された事実について認識していません。ただし、この問題が開示された直後に多くの エクスプロイト (exploit) が公開されています。これらのエクスプロイトにより、OpenSSL を使用したアプリケーションによって処理される情報 (認証情報をも含むプライベートキー、セッショントークン、ユーザーが提供するデータ) の開示に繋がります。ご利用中のシステムが影響を受けるかどうかを確認し、影響を受ける場合には適切なバージョンにバージョンアップされることが推奨されます。追加の救済策は、How to recover from the Heartbleed OpenSSL vulnerability を参照してください。

警告: RHEV-M のメンテナンス中にストレージ、ホストおよびハイパーバイザー、またはゲストを開始または停止しないでください。

RHEV-H

  1. RHEV-H に影響しますか?

    • この問題は rhev-hypervisor6-6.5-20140407.0.el6ev (RHSA-2014:0378 でリリース) で修正されました。

    • rhev-hypervisor6-6.5-20140407.0.el6ev 以前の すべてのバージョンの rhev-hypervisor6-6.5 は影響を受けます。

    • RHEV ハイパーバイザーの現在のバージョンは、 RHEV Manager 内から確認できます。

      • [Hosts] タブをクリックしてハイパーバイザーを選択します。
        ホストで、詳細セクションを確認できます。

        OS Version:RHEV Hypervisor - 6.5 - <VERSION WILL BE HERE>
        
    • また、このバージョンは、RHEV-H コマンドラインから手動で確認できます。

      # cat /etc/redhat-release 
      Red Hat Enterprise Virtualization Hypervisor release 6.5 (20140112.0.el6)
      
  2. アップグレードを計画する前に、そのクラスターに、ハイパーバイザーが複数存在 (して仮想マシンの移行ができる) ことを確認してください。

  3. ハイパーバイザーにアップグレードする方法は、Hypervisor Deployment Guide を参照してください。


RHEL ホストおよびハイパーバイザー

  1. RHEL には影響しますか?

    • Red Hat Enterprise Linux 6.5 を稼働中のシステムに大抵影響することが報告されています。

    • 特に、openssl のバージョンが openssl-1.0.1e-15.el6 から openssl-1.0.1e-16.el6_5.4 である RHEL6 システムには影響します。

      • 以下のコマンドを実行するとインストールされているバージョンが確認できます。

        rpm -q openssl
        
  2. RHEV-M 管理ポータルの [Hosts] タブからそのハイパーバイザーを選択し、[Maintenance] をクリックします。
    ステータスが「Maintenance」になったら先に進んでください。

  3. openssl パッケージを openssl-1.0.1e-16.el6_5.7 (RHSA-2014:0376) 以降にアップデートするとこの問題が修正されます。

    • 通常通り、インターネット経由で登録したシステム (または Satellites などに接続したシステム) は、yum を経由してアップデートすることができます。

      yum update openssl
      
    • もしくは、接続したシステムを使用して openssl パッケージをダウンロードし、上述の rpm パッケージを問題の RHEL ホストに転送して手動でインストールすることでもできます。

  4. openssl パッケージがアップデートできたら、RHEL ホストを再起動します。

  5. RHEV-M 管理ポータルの [Hosts] タブからそのハイパーバイザーを選択し、[Activate] をクリックします。
    ステータスが「Up」になったら先に進んでください。


RHEV-M

  1. RHEV-M には影響しますか?

    • Red Hat Enterprise Linux 6.5 を稼働中の RHEV-M に大抵影響することが報告されています。

    • 特に、openssl のバージョンが openssl-1.0.1e-15.el6 から openssl-1.0.1e-16.el6_5.4 である RHEL6 システムには影響します。

      • 以下のコマンドを実行するとインストールされているバージョンが確認できます。

        rpm -q openssl
        
  2. RHEV-M GUI の右下の [Tasks] サブタブをクリックして、タスクを実行していないことを確認します。

  3. シェルから、RHEV-M に対する 3 つのメインサービスを停止します。

    # service ovirt-engine-dwhd stop    (ONLY if reports dwh is configured and running)
    # service ovirt-engine stop
    # service postgresql stop
    
  4. openssl パッケージを openssl-1.0.1e-16.el6_5.7 (RHSA-2014:0376 リリース) 以降にアップデートするとこの問題が修正されます。

    • 通常通り、インターネット経由で登録したシステム (または Satellites などに接続したシステム) は、yum を経由してアップデートすることができます。

      yum update openssl
      
    • もしくは、接続したシステムを使用して openssl パッケージをダウンロードし、上述の rpm パッケージを問題の RHEV-M に転送して手動でインストールすることでもできます。

  5. RHEV-M を再起動します。

  6. 再起動したら、RHEV-M が適切に動作するために、上述の 3 つのすべてのサービスが実行していることを確認します。

Root Cause

  • 原因については、Security Advisory からの公式アナウンス RHSA-2014:0378 を参照してください。

    An information disclosure flaw was found in the way OpenSSL handled TLS and
    DTLS Heartbeat Extension packets.A malicious TLS or DTLS client or server

    could send a specially crafted TLS or DTLS Heartbeat packet to disclose a
    limited portion of memory per request from a connected client or server.
    Note that the disclosed portions of memory could potentially include
    sensitive information such as private keys.(CVE-2014-0160)

[参考訳]
OpenSSL を使用した TLS および DTLS Heartbeat Extension パケットの操作に、
情報漏洩の不具合が見つかりました。悪意のある TLS または DTLS
クライアント/サーバーは、巧みに作成した TLS または DTLS Heartbeat パケットを、
接続しているクライアントまたはサーバーから、必要に応じて
メモリ内で限定された場所を開示します。メモリで開示されている箇所は、
プライベートキーなど、重要な情報が保存されている可能性があります。

  • 更新版が公開されていない製品に関する進捗は、Red Hat CVE データベース CVE-2014-0160 を参照してください。

Diagnostic Steps

  • Red Hat は、お客様がこの脆弱性について自動的に確認するためのツールをご用意しました。このツールは正式なサポートツールではなく情報提供だけを目的としたものとなりますが、パッケージのアップデート後に簡単なチェックを行うことができます。

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.

Comments