BLOG

2014年4月11日/ AWS, ec2, openssl

[AWS] OpenSSLの脆弱性に対するEC2のアップデート方法

 

オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に64Kバイトのメモリが露呈されてしまう脆弱性が発覚し、この問題を修正した「OpenSSL 1.0.1g」が2014年4月7日に公開されました。

 

OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ

OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性

 

AWSをお使いの方は脆弱性に関する注意勧告がメール等で来ていると思います。

AWSからOpenSSLの脆弱性について AWS のサービスアップデート

Amazon EC2: Linux上でOpenSSLをご利用のすべてのお客様は、この問題への対策としてパッケージのアップデートをお客様自身で行って頂く必要があります。いくつかのメジャーなLinuxでの対処方法について下記のリンクで確認することができます。また、この件に関してもElastic Load Balancingのケースと同様に攻撃への予防措置としてSSL証明書を更新することが推奨されます。

 

EC2のOpenSSLは自身でアップデートする必要がありますので、今回対応した手順を記載しました。未対応の方は参考にされて下さい。

 

 

現状のOpenSSLバージョンを確認

まずはEC2にSSHで接続し、OpenSSLのバージョンを確認します。

 

上記コマンドを入力します。  

aws1 

 

そうすると、現状のOpenSSLのバージョンが表示されます。 

aws02

 

この環境では「1:1.0.1e-37.64.amzn1」というバージョンのようです。

 

最新バージョンはこちらに記載があるので確認します。

ALAS-2014-320: openssl Security Update – Information Disclosure Vulnerability

 

最新バージョンは「openssl-1.0.1e-37.66.amzn1.x86_64」と記載があるので、バージョンアップが必要であることがわかりました。

 

 

OpenSSLをバージョンアップする

次にOpenSSLをバージョンアップします。

 

上記コマンドを実行します。 

 

aws07

そうすると、先ほど確認したバージョン名が表示されました。

アップデートを実行するか聞いてくるので、”y” を入力します。

 

aws08

「Complete!」と表示されれば成功です。

 

念のため更新されたかバージョンを確認する

正常に更新されたか念のためバージョンを確認しましょう。

最初に実行したバージョン確認のコマンドを再度実行します。

 

 

aws05

最新バージョンに更新されていることが確認できました。

 

プロセスを再起動する

最後にOpenSSLを使用しているプロセス(Apacheなど)を再起動します。

 

aws06

正常に再起動できました。

 

まとめ

いかがでしたでしょうか?

サーバーのシステムメモリーには、極めて機密性の高いデータが置かれていることが多いのですが、例えば、通信データ(ユーザー名、パスワード、クレジットカード等)を暗復号化するためのキーなどがあります。

今回の影響で容易に秘密鍵を取り出すことが可能になり、傍受したデータをあたかも暗号化されていなかったかのように読むことができる可能性があります。

これらのキーを持てば、アタッカーが他人になりすまして本来機密性の高いサイトやサーバーに侵入することもできます。

 

特に個人情報などの機密情報を持つサーバーは大きな被害を受ける可能性があるので、早く対応するようにしましょう。

 

 

Resent Posts

Category