OpenSSL の大きなセキュリティ問題について
Posted: 2014年4月10日(木) 01:21
すでに見ている人もいるかと思いますが、
Linux Mint にも含まれている OpenSSL に大きなセキュリティ問題が発見されています。
http://www.rbbtoday.com/article/2014/04/09/118672.html
http://internet.watch.impress.co.jp/doc ... ef=twitter
http://scan.netsecurity.ne.jp/article/2 ... 33945.html
もちろんすでに本家フォーラムでも話題になってます。大騒ぎです!
http://forums.linuxmint.com/viewtopic.php?t=164364
自分はこれで 8 日から動いているのですが、Linux Mint は後回しで今投稿しています。
なぜかというと、話題が出ていなかったのもありますが、
Linux Mint では、ベースとなっている Ubuntu や Debian で対応した OpenSSL が公開されて
アップデートマネージャで反映される状態になるという事が分かっていたからです。
なので、パッケージをちゃんと最新状態に更新してあれば心配いりません。安心してご利用下さい。
参照先のダウンロードサーバによって、すでに更新されているか、そうでなくても近いうちに更新されます。
更新間隔を空けている場合は手動で更新させてもよろしいかもしれません。
デスクトップ用途の人が多いと思いますので、電源を切っている人が多いと思いますが、
もし付けっ放しにしている場合は、更新された後に Linux Mint を再起動する事をおすすめします。
そうしないと OpenSSL の更新が反映されずに動作し続ける可能性があります。
もう少し詳細な情報を下記に入れておきます。
メインリリース(Ubuntu ベース・問題対象: 13〜16)
ベースとしている Ubuntu では OpenSSL によるセキュリティ対応をバージョン更新せず、
パッチ適用によって対応しています。そのため、バージョン更新されていませんが、適用されています。
Linux Mint 13 LTS: OpenSSL 1.0.1-4ubuntu5.12
Linux Mint 14: OpenSSL 1.0.1c-3ubuntu2.7
Linux Mint 16: OpenSSL 1.0.1f-1ubuntu2
openssl version では更新を確認することができません。
代わりに openssl version -b としてビルドされた日が Apr 2014(2014年4月) 以降である事を確認して下さい。
Linux Mint 13 LTS の場合
Linux Mint 14 の場合
Linux Mint 16 の場合
Ubuntu ベースは Ubuntu のリボジトリを直接参照しています。
毎日更新確認しているのであれば、8〜9日辺りですでに更新を行っているでしょう。
15 でも問題が発生していますが、Ubuntu 13.04 がベースで、今年1月ですでに期限が切れています。
そのため、15 では OpenSSL の更新対応が行われていません。そのまま使うのは大変危険です。対応を検討して下さい。
本家フォーラムでは OpenSSL をソースからビルドする動きも見られます。
14 はサポート期限が変わる前だったので、今年4月(つまり今月)までがサポート期間ですが、
今月までなので、更新など対応検討をおすすめします。
12 より以前は OpenSSL のバージョンが古いため、今回の対象外ですが、
期限切れですでに別のセキュリティ問題が発生しているでしょう。
※ 14 はまだ更新対象でしたので加えました。
Debian Edition
LMDE では OpenSSL が最新版 1.0.1g に更新されます。
最新版になるので、openssl version で更新された事を確認できます。
-b を含めてビルド日でも確認可能です。
自動更新させている場合はこの手段で確認して下さい。
debian.linuxmint.com への反映は(日本時間)10 日昼間に行われた事を確認しました。
ミラーサイトはもう少し遅れると思われます。
※ 当初この記事は Debian Edition の更新前に投稿していたため、予測する内容で記載していましたが、
実際の動作を確認できましたので、反映を行いました。
Linux Mint にも含まれている OpenSSL に大きなセキュリティ問題が発見されています。
http://www.rbbtoday.com/article/2014/04/09/118672.html
http://internet.watch.impress.co.jp/doc ... ef=twitter
http://scan.netsecurity.ne.jp/article/2 ... 33945.html
もちろんすでに本家フォーラムでも話題になってます。大騒ぎです!
http://forums.linuxmint.com/viewtopic.php?t=164364
自分はこれで 8 日から動いているのですが、Linux Mint は後回しで今投稿しています。
なぜかというと、話題が出ていなかったのもありますが、
Linux Mint では、ベースとなっている Ubuntu や Debian で対応した OpenSSL が公開されて
アップデートマネージャで反映される状態になるという事が分かっていたからです。
なので、パッケージをちゃんと最新状態に更新してあれば心配いりません。安心してご利用下さい。
参照先のダウンロードサーバによって、すでに更新されているか、そうでなくても近いうちに更新されます。
更新間隔を空けている場合は手動で更新させてもよろしいかもしれません。
デスクトップ用途の人が多いと思いますので、電源を切っている人が多いと思いますが、
もし付けっ放しにしている場合は、更新された後に Linux Mint を再起動する事をおすすめします。
そうしないと OpenSSL の更新が反映されずに動作し続ける可能性があります。
もう少し詳細な情報を下記に入れておきます。
メインリリース(Ubuntu ベース・問題対象: 13〜16)
ベースとしている Ubuntu では OpenSSL によるセキュリティ対応をバージョン更新せず、
パッチ適用によって対応しています。そのため、バージョン更新されていませんが、適用されています。
Linux Mint 13 LTS: OpenSSL 1.0.1-4ubuntu5.12
Linux Mint 14: OpenSSL 1.0.1c-3ubuntu2.7
Linux Mint 16: OpenSSL 1.0.1f-1ubuntu2
openssl version では更新を確認することができません。
代わりに openssl version -b としてビルドされた日が Apr 2014(2014年4月) 以降である事を確認して下さい。
Linux Mint 13 LTS の場合
- コード: 全て選択
$ openssl version -b
built on: Mon Apr 7 20:31:55 UTC 2014
Linux Mint 14 の場合
- コード: 全て選択
$ openssl version -b
built on: Mon Apr 7 20:33:28 UTC 2014
Linux Mint 16 の場合
- コード: 全て選択
$ openssl version -b
built on: Mon Apr 7 20:33:19 UTC 2014
Ubuntu ベースは Ubuntu のリボジトリを直接参照しています。
毎日更新確認しているのであれば、8〜9日辺りですでに更新を行っているでしょう。
15 でも問題が発生していますが、Ubuntu 13.04 がベースで、今年1月ですでに期限が切れています。
そのため、15 では OpenSSL の更新対応が行われていません。そのまま使うのは大変危険です。対応を検討して下さい。
本家フォーラムでは OpenSSL をソースからビルドする動きも見られます。
14 はサポート期限が変わる前だったので、今年4月(つまり今月)までがサポート期間ですが、
今月までなので、更新など対応検討をおすすめします。
12 より以前は OpenSSL のバージョンが古いため、今回の対象外ですが、
期限切れですでに別のセキュリティ問題が発生しているでしょう。
※ 14 はまだ更新対象でしたので加えました。
Debian Edition
LMDE では OpenSSL が最新版 1.0.1g に更新されます。
最新版になるので、openssl version で更新された事を確認できます。
-b を含めてビルド日でも確認可能です。
自動更新させている場合はこの手段で確認して下さい。
- コード: 全て選択
$ openssl version
OpenSSL 1.0.1g 7 Apr 2014
$ openssl version -b
built on: Mon Apr 7 21:30:49 UTC 2014
debian.linuxmint.com への反映は(日本時間)10 日昼間に行われた事を確認しました。
ミラーサイトはもう少し遅れると思われます。
※ 当初この記事は Debian Edition の更新前に投稿していたため、予測する内容で記載していましたが、
実際の動作を確認できましたので、反映を行いました。