先月の末、OpenSSLに複数のセキュリティ脆弱性が存在するとしてセキュリティアドバイザリ「FreeBSD-SA-17:11.openssl OpenSSL multiple vulnerabilities」が公開されました。FreeBSDはベースシステムにOpenSSLプロジェクトから提供されているopensslの実装系をマージして利用しています。今回のセキュリティ脆弱性はFreeBSDプロジェクトがサポートしているすべてのバージョンが影響を受けるとしています。

このバグによってテキスト形式で誤った証明書が表示される可能性があるとされています。セキュリティ脆弱性が修正されたバージョンは次のとおりです。

• 11.1-STABLE (stable/11) 2017-11-02 18:30:41 UTC
• 11.1-RELEASE-p5 (releng/11.1) 2017-11-29 05:59:12 UTC
• 11.0-RELEASE-p16 (releng/11.0) 2017-11-29 05:59:12 UTC
• 10.4-STABLE (stable/10) 2017-11-29 05:35:28 UTC
• 10.4-RELEASE-p4 (releng/10.4) 2017-11-29 05:59:50 UTC
• 10.3-RELEASE-p25 (releng/10.3) 2017-11-29 05:59:50 UTC

この問題を一時的に回避する方法はないとされています。対象となるソフトウェアをアップデートするかシステムをアップデートして、同ライブラリを利用しているすべてのソフトウェアを再起動するかシステムを再起動する必要があるとされています。

FreeBSD Updateを使っている場合には次のようにアップデートを実施したのち、システムを再起動するかまたは対象となるデーモンを再起動することで問題を解決できるとされています。

# freebsd-update fetch
# freebsd-update install

パッチを当ててビルドする場合は、次のようにパッチを適用します。

# fetch https://security.FreeBSD.org/patches/SA-17:11/openssl-10.patch
# fetch https://security.FreeBSD.org/patches/SA-17:11/openssl-10.patch.asc
# gpg --verify openssl-10.patch.asc
# cd /usr/src
# patch 

# fetch https://security.FreeBSD.org/patches/SA-17:11/openssl.patch
# fetch https://security.FreeBSD.org/patches/SA-17:11/openssl.patch.asc
# gpg --verify openssl.patch.asc
# cd /usr/src
# patch 

パッチを適用したあとはシステムをビルドし（buildworld, installworld⁠）⁠、OpenSSLライブラリを使用しているすべてのソフトウェアを再起動するか、システムを再起動します。今回のセキュリティ脆弱性の修正においてはカーネルを再構築する必要はありません。

現在サポートされているFreeBSDではFreeBSD Updateが使えますので、カスタマイズしたカーネルを使うといったケースを除いてFreeBSD Updateを使ってしまう方法が簡単です。