ブログ移設しました。

bloggerから記事を移設しました。


HUGOで記事を書いてみると思いのほか書きやすかったので移動。

日曜日, 5月 03, 2015

OpenSSLビルド・影響範囲調査

どうも。またまた環境周りのことで対処が速攻決断できない事象があったので、一度自分で実践と調査することに。

先に結論

現在opensslをソースインストールあと、lib64でlibssl.so、libcrypt.soを入れ替えて試してみましたが、パッケージでいれたものは、perl以外成功にはならず。
なので、そのままでもいける方法が見つからないのであれば、既存のライブラリを残したまま、opensslを別でコンパイルして、LD_LIBRALY_PATHに追加して、各プログラムをソースコンパイルですかね。。。
何かわかったら、更新します。 知っている方いらっしゃいましたら、ご教示願います。。。

きっかけ

perl周りで複数のDB繋いで遊ぶみたいなことをやってたんだけど、そこのエントリーは、また次にする。。。

んで、OpenSSLってなんでいきなり話題にあがったかというと、
話としてはこの辺がトリガー

CVE-2015-0291のほうがすごい深刻な問題だと感じたけど、CVE-2015-0204のほうだけ対応できればいいということが判明。
そうなると外部通信時にデータ抜かれるだけっぽいし、まぁいいかな?と思ったけど、そういうわけにもいかないので、調べてみることに。

そもそも、OpenSSLってライブラリとして利用しているものが多すぎて影響範囲がわかんねぇよ。ってところからのスタートです。
※今回の話は影響調査〜構築までとなりそうなので、以下のシリーズの7〜20までは読んでないと意味わからないかもね。
http://www.atmarkit.co.jp/ait/kw/buildlamp.html

恥ずかしながら、知らないことばかりでした。

さて、話を戻すと、OpenSSLで私が使っている中で影響を受けそうなのは、
  • webサーバー
  • php,perlなどのプログラミング言語(外部通信するなら)
  • sshd, ssh, wget, curl,etc
  • RDBMS(ビルドオプション次第かな。)
これらのプログラム、デーモンが影響を受けますね。
ただ、きになるのは、更新された後、そのまま動くんですか? 本当に新しくなったものを利用しているんですか?
ですね。

ソースで入れたのは各々で認識しているはずなので、それは置いといて、yum,aptで入れた人はどういう状態なのか確認しておくとしましょう。

vagrant box list 
centos6.64     (virtualbox, 0)
centos7.64     (virtualbox, 0)
debian7.8.64   (virtualbox, 0)

freebsd10.1.64 (virtualbox, 0)

perlでDB操作する時用にvagrantのboxは自作してあるので、この中からcentos6とdebian7.8で確認していくとしましょう。
freebsdは書いていくと説教されそうなのでやめとこう。

で、各々のものに関してはきっと確認していくポイントが違いそうなので、各々のページを作って後でまとめをこのページに書くかな。

基本的に作業ログに関しては全てgistに登録して、結果だけブログに記載するようにしたいです。

各プログラムの確認及び更新作業
なお、調査当初から見ていこうとしている順番が異なっています。
どうしても、公式パッケージ環境構築=>公式パッケージ環境確認=>opensslビルド=>適用作業=>確認となるので、上記の順番に変更を行いました。

あっ、openssl周りでwindowsからssh系の作業ができるやつははサーバー云々とかとは別に新しいプログラムが出ているはずなので、ちゃんと更新してますよね?
彼らはきっとopensslについては静的リンクになっているか、opensslのライブラリがディレクトリ内にいるはずなので、ちゃんと更新しましょう

0 件のコメント:

コメントを投稿