OpenSSL の大きなセキュリティ問題について

Linux Mintのその他。質問以外も大歓迎です!

OpenSSL の大きなセキュリティ問題について

投稿記事by fu-sen » 2014年4月10日(木) 01:21

すでに見ている人もいるかと思いますが、
Linux Mint にも含まれている OpenSSL に大きなセキュリティ問題が発見されています。 :x

http://www.rbbtoday.com/article/2014/04/09/118672.html
http://internet.watch.impress.co.jp/doc ... ef=twitter
http://scan.netsecurity.ne.jp/article/2 ... 33945.html

もちろんすでに本家フォーラムでも話題になってます。大騒ぎです! :o

http://forums.linuxmint.com/viewtopic.php?t=164364

自分はこれで 8 日から動いているのですが、Linux Mint は後回しで今投稿しています。
なぜかというと、話題が出ていなかったのもありますが、
Linux Mint では、ベースとなっている Ubuntu や Debian で対応した OpenSSL が公開されて
アップデートマネージャで反映される状態になるという事が分かっていたからです。
なので、パッケージをちゃんと最新状態に更新してあれば心配いりません。安心してご利用下さい。 :D
参照先のダウンロードサーバによって、すでに更新されているか、そうでなくても近いうちに更新されます。
更新間隔を空けている場合は手動で更新させてもよろしいかもしれません。
デスクトップ用途の人が多いと思いますので、電源を切っている人が多いと思いますが、
もし付けっ放しにしている場合は、更新された後に Linux Mint を再起動する事をおすすめします。
そうしないと OpenSSL の更新が反映されずに動作し続ける可能性があります。


もう少し詳細な情報を下記に入れておきます。


メインリリース(Ubuntu ベース・問題対象: 13〜16)

ベースとしている Ubuntu では OpenSSL によるセキュリティ対応をバージョン更新せず、
パッチ適用によって対応しています。そのため、バージョン更新されていませんが、適用されています。

Linux Mint 13 LTS: OpenSSL 1.0.1-4ubuntu5.12
Linux Mint 14: OpenSSL 1.0.1c-3ubuntu2.7
Linux Mint 16: OpenSSL 1.0.1f-1ubuntu2

openssl version では更新を確認することができません。
代わりに openssl version -b としてビルドされた日が Apr 2014(2014年4月) 以降である事を確認して下さい。

Linux Mint 13 LTS の場合
コード: 全て選択
$ openssl version -b
built on: Mon Apr  7 20:31:55 UTC 2014

Linux Mint 14 の場合
コード: 全て選択
$ openssl version -b
built on: Mon Apr  7 20:33:28 UTC 2014

Linux Mint 16 の場合
コード: 全て選択
$ openssl version -b
built on: Mon Apr  7 20:33:19 UTC 2014

Ubuntu ベースは Ubuntu のリボジトリを直接参照しています。
毎日更新確認しているのであれば、8〜9日辺りですでに更新を行っているでしょう。

15 でも問題が発生していますが、Ubuntu 13.04 がベースで、今年1月ですでに期限が切れています。
そのため、15 では OpenSSL の更新対応が行われていません。そのまま使うのは大変危険です。対応を検討して下さい。
本家フォーラムでは OpenSSL をソースからビルドする動きも見られます。
14 はサポート期限が変わる前だったので、今年4月(つまり今月)までがサポート期間ですが、
今月までなので、更新など対応検討をおすすめします。
12 より以前は OpenSSL のバージョンが古いため、今回の対象外ですが、
期限切れですでに別のセキュリティ問題が発生しているでしょう。

※ 14 はまだ更新対象でしたので加えました。


Debian Edition

LMDE では OpenSSL が最新版 1.0.1g に更新されます。
最新版になるので、openssl version で更新された事を確認できます。
-b を含めてビルド日でも確認可能です。
自動更新させている場合はこの手段で確認して下さい。

コード: 全て選択
$ openssl version
OpenSSL 1.0.1g 7 Apr 2014
$ openssl version -b
built on: Mon Apr  7 21:30:49 UTC 2014

debian.linuxmint.com への反映は(日本時間)10 日昼間に行われた事を確認しました。
ミラーサイトはもう少し遅れると思われます。

※ 当初この記事は Debian Edition の更新前に投稿していたため、予測する内容で記載していましたが、
  実際の動作を確認できましたので、反映を行いました。
最後に編集したユーザー fu-sen [ 2014年4月14日(月) 12:00 ], 累計 7 回
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

Re: OpenSSL の大きなセキュリティ問題について

投稿記事by sawakaze » 2014年4月10日(木) 19:22

情報有り難うございます
----
Sawakaze
Linux Mint Debian Edition
Email : souichirho@gmail.com
WebPage : http://www.sawakaze.net/sishikawa/
sawakaze
幕下
 
記事: 60
登録日時: 2013年6月11日(火) 20:56
お住まい: Aichi

Re: OpenSSL の大きなセキュリティ問題について

投稿記事by fu-sen » 2014年4月11日(金) 22:22

今 LMDE を確認したところ、OpenSSL の再更新を確認しました。
1.0.1g-2 に更新されています。

で、このタイミングで Debian や他の派生で実施されている
メッセージ表示が実施されていますが、
LMDE の場合は再起動するアプリのウインドウ表示になります。
apt-get などで更新している場合は具体的な表示があるかもしれません。
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40


Return to その他

オンラインデータ

このフォーラムを閲覧中のユーザー: Google [Bot] & ゲスト[10人]