OpenSSL の CVE-2014-0160 (Heartbleed バグ) と Red Hat Enterprise Linux
Environment
- Red Hat Enterprise Linux 7 Beta は影響を受けます。
- Red Hat Enterprise Linux 6 は影響を受けます。
- Red Hat Enterprise Linux 5 は影響を受けません。
- Red Hat Enterprise Linux 4 は影響を受けません。
- 上記以外で影響を受ける弊社製品については、https://access.redhat.com/site/announcements/781953 を参照してください。
Issue
このナレッジベースの英語版は現在頻繁に更新されています。最新情報については英語版を参照してください。
- CVE-2014-0160 は Red Hat Enterprise Linux に影響を及ぼしますか?
- openssl の heartbleed バグへの修正版が必要です。
- openssl heartbleed の脆弱性の影響を受ける Red Hat Enterprise Linux のバージョンを教えてください。
- OpenSSL をアップデートした後に RHEL で再起動する必要があるパッケージおよびサービスのリストはありませんか?
Resolution
ステップ 1: お使いの Red Hat Enterprise Linux システムがCVE-2014-0160に該当するかを確認する。
-
Red Hat Enterprise Linux 7 Beta
-
Red Hat Enterprise Linux 6
- OpenSSL の
openssl-1.0.1e-15
からopenssl-1.0.1e-16.el6_5.4
までのバージョンは脆弱性の影響を受けるlibssl.so
ライブラリを同梱しています。 - 脆弱性の影響を受けるバージョンは RHEL 6.5 以降に出荷されています。(RHEL 6.4 とそれ以前は影響の受けない openssl-1.0.0 シリーズが出荷されています)
- RHEL 6.0 から 6.3 でも、脆弱性の影響を受ける openssl-1.0.1 シリーズのパッケージにアップデートされている可能性があります。
- OpenSSL のバージョンを確認するには、以下のコマンドを実行します:
rpm -q openssl
- OpenSSL の
openssl-1.0.1e-16.el6_5.7
以降のバージョンには openssl-1.0.1g より バックポート された修正を含んでいます。
- OpenSSL の
-
Red Hat Enterprise Linux 5 と Red Hat Enterprise Linux 4
- 脆弱性の影響を受ける OpenSSL 1.0.1 シリーズのバージョンは RHEL 5 以前のバージョンでは出荷されていません。
ステップ 2 (オプショナル): libssl ライブラリを利用しているクエリーやプロセスを確認する。
-
下記の何れかのコマンドを root ユーザーにて実行し、libssl を利用している実行中のプロセスを確認します。
-
lsof | awk 'NR==1 || $0~/libssl.so.1.0.1e/'
-
grep libssl.so.1.0.1e /proc/*/maps | cut -d/ -f3 | sort -u | xargs -r -- ps uf
-
-
公開されているサーバーについては Red Hat's Heartbleed Detector tool を利用することにより、クエリーを実施することが可能です(もしくは offline Heartbleed scanning tool を利用することにより、内部公開中のサーバーにクエリーを実施することが可能です。)
ステップ 3: openssl パッケージのアップデート
-
Red Hat Enterprise Linux 7 Beta
- (修正が入っている)
openssl-1.0.1e-34.el7
もしくはそれ以降にアップデートします。
- (修正が入っている)
-
Red Hat Enterprise Linux 6
- (RHSA-2014:0376 にあるとおり、修正を含んでいる)
openssl-1.0.1e-16.el6_5.7
もしくはそれ以降にアップデートします。
- (RHSA-2014:0376 にあるとおり、修正を含んでいる)
-
通常のオペレーションのとおり、ネットワークに接続しており、かつ登録しているシステムについては yum 経由でアップデートが可能です(全ての RHEL 7 Beta システムならびにサテライトに登録しているシステムも同様です)。
yum update openssl
-
上記に該当しない場合は以下のナレッジを参照し、パッケージをダウンロードします。use a connected system to download the package download the package directly from the Customer Portal2
-
その後手動にてパッケージをアップデートします。transfer the package to the system in question and install it manually with yum, e.g.:
yum update <path-to-openssl*rpm>
-
ステップ 4: アップデート後に脆弱性を含んでいる libssl.so を利用しているプロセスをリスタートする3
-
もっとも確実な方法はシステムを再起動することです。
-
別な方法は ステップ 2 (オプショナル) を利用して適宜サービスをリスタートすることです。
ステップ 5 (オプショナル): Heartbleed Detector tools を利用して再度システムをスキャンする
- 上記にある ステップ 2 (オプショナル) にある手順で行います。
ステップ 6 (オプショナル): 追加の措置
-
以下はレッドハットセキュリティーレスポンスチームからの公式な案内になります。
Red Hat is not aware of any public exploit being used in the wild for this issue prior to the date of disclosure. However, a number of public exploits were published shortly after the issue was disclosed.4 These exploits could lead to the disclosure of information handled by applications using OpenSSL, including private keys, session tokens, and data submitted by users, which could include authentication credentials. It is recommended that you assess the risk this could pose to your systems, and perform additional remediation as you deem appropriate.
-
For more details on additional remediation steps, refer to: How to recover from the Heartbleed OpenSSL vulnerability
-
Red Hat does not support the use of beta software in production and, therefore, does not normally release errata for betas. Given the great interest in the RHEL 7 Beta and the severity of the Heartbleed issue, Red Hat has made an exception in order to facilitate customer testing -- an updated OpenSSL package for the RHEL 7 Beta was provided. Note however that due to the beta nature of this update, CVE-2014-0160 will not link to any RHEL 7 Beta errata page. To be clear: the RHEL 7 GA release (RHEL 7.0) will not contain an affected openssl package. ↩︎
-
Package downloads for RHEL 7 Beta are in a different place than normal supported downloads: Navigate to the RHEL 7 Public Beta Download Page and make an appropriate selection. Then click Packages tab, and enter "openssl" in the Filter search field; then select the "openssl" package to download it. ↩︎
-
The most common process which is affected is Apache's
httpd
when being used in concert with mod_ssl. In contrast, OpenSSH'ssshd
is not affected. (See Is OpenSSH affected by the OpenSSL Heartbleed bug?.) ↩︎ -
Note that several security researchers have now demonstrated that it is possible to retrieve private keys from an nginx server vulnerable to his flaw. (Note that it has not yet been demonstrated that private keys can be retrieved from Apache httpd servers as shipped in RHEL.) If you are using OpenSSL on a web server, for example using Apache httpd & mod_ssl, then remote attackers may have used this flaw to compromise session tokens and plaintext user credentials stored in memory. Tools allowing attackers to automatically harvest session tokens from servers vulnerable to this flaw are now publicly available. ↩︎
Root Cause
-
原因については、Security Advisory からの公式アナウンス RHSA-2014:0376 を参照してください。
An information disclosure flaw was found in the way OpenSSL handled TLS and
DTLS Heartbeat Extension packets.A malicious TLS or DTLS client or server
could send a specially crafted TLS or DTLS Heartbeat packet to disclose a
limited portion of memory per request from a connected client or server.
Note that the disclosed portions of memory could potentially include
sensitive information such as private keys.(CVE-2014-0160)[参考訳]
OpenSSL を使用した TLS および DTLS Heartbeat Extension パケットに、
情報漏洩の不具合が見つかりました。悪意のある TLS または DTLS
クライアント/サーバーは、巧みに作成した TLS または DTLS Heartbeat パケットを、
接続しているクライアントまたはサーバーから、必要に応じて
メモリ内で限定された場所を開示します。メモリで開示されている箇所は、
プライベートキーなど、重要な情報が保存されている可能性があります。 -
更新版が公開されていない製品に関する進捗は、Red Hat CVE データベース CVE-2014-0160 を参照してください。
Diagnostic Steps
- ステップ 2 (オプショナル) にある手順を参照してください。
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments