BSD界隈四方山話

第127回 OpenSSLに複数の脆弱性

この記事を読むのに必要な時間:およそ 1 分

先月の末,OpenSSLに複数のセキュリティ脆弱性が存在するとしてセキュリティアドバイザリFreeBSD-SA-17:11.openssl OpenSSL multiple vulnerabilitiesが公開されました。FreeBSDはベースシステムにOpenSSLプロジェクトから提供されているopensslの実装系をマージして利用しています。今回のセキュリティ脆弱性はFreeBSDプロジェクトがサポートしているすべてのバージョンが影響を受けるとしています。

 FreeBSD-SA-17:11.openssl OpenSSL multiple vulnerabilities

図 FreeBSD-SA-17:11.openssl OpenSSL multiple vulnerabilities

このバグによってテキスト形式で誤った証明書が表示される可能性があるとされています。セキュリティ脆弱性が修正されたバージョンは次のとおりです。

  • 11.1-STABLE (stable/11) 2017-11-02 18:30:41 UTC
  • 11.1-RELEASE-p5 (releng/11.1) 2017-11-29 05:59:12 UTC
  • 11.0-RELEASE-p16 (releng/11.0) 2017-11-29 05:59:12 UTC
  • 10.4-STABLE (stable/10) 2017-11-29 05:35:28 UTC
  • 10.4-RELEASE-p4 (releng/10.4) 2017-11-29 05:59:50 UTC
  • 10.3-RELEASE-p25 (releng/10.3) 2017-11-29 05:59:50 UTC

この問題を一時的に回避する方法はないとされています。対象となるソフトウェアをアップデートするかシステムをアックデートして,同ライブラリを利用しているすべてのソフトウェアを再起動するかシステムを再起動する必要があるとされています。

FreeBSD Updateを使っている場合には次のようにアップデートを実施したのち,システムを再起動するかまたは対象となるデーモンを再起動することで問題を解決できるとされています。

 システムをFreeBSD Updateでアップデート

# freebsd-update fetch
# freebsd-update install

パッチを当ててビルドする場合は,次のようにパッチを適用します。

 FreeBSD 10.3パッチ

# fetch https://security.FreeBSD.org/patches/SA-17:11/openssl-10.patch
# fetch https://security.FreeBSD.org/patches/SA-17:11/openssl-10.patch.asc
# gpg --verify openssl-10.patch.asc
# cd /usr/src
# patch < /path/to/patch

 FreeBSD 11.xパッチ

# fetch https://security.FreeBSD.org/patches/SA-17:11/openssl.patch
# fetch https://security.FreeBSD.org/patches/SA-17:11/openssl.patch.asc
# gpg --verify openssl.patch.asc
# cd /usr/src
# patch < /path/to/patch

パッチを適用したあとはシステムをビルドし(buildworld, installworld)⁠OpenSSLライブラリを使用しているすべてのソフトウェアを再起動するか,システムを再起動します。今回のセキュリティ脆弱性の修正においてはカーネルを再構築する必要はありません。

現在サポートされているFreeBSDではFreeBSD Updateが使えますので,カスタマイズしたカーネルを使うといったケースを除いてFreeBSD Updateを使ってしまう方法が簡単です。

コメント

コメントの記入