SKILL CentOS

【CentOS】CentOS導入OpenSSLバージョン確認・脆弱性対応の確認方法

更新日:

たまにでるOpensslの脆弱性。
毎回脆弱性が報告されるたび、うちのサーバのopenssl、めちゃくちゃバージョン古いからやばくない!?という問い合わせを受けたりしますが、実際には脆弱性の対象外だったりすることもあるのでメモです。

opensslのversionは [ openssl version ] コマンドで確認しますが、CentOS系パッケージの場合、OpenSSLをアップデートしてもコマンドで表示されるバージョンはあがりません。

これは簡単に説明するとCentOS独自のopensslのバージョン表記であるため、と考えるとわかりやすいと思います。
CentOSでは、リリース時点のバージョンにパッチを当てる形で保守されます。
これにより、yum updateしても、バージョン番号などはそのままになっていることがあるのです。

脆弱性が報告されたのにいくらアップデートしても最新にならないよーーーー!と焦りがちですが、RedHatのCVEデータベースを見ると良いでしょう。
発表された脆弱性には、CVEという番号が振られてますので該当のCVE番号で検索すれば脆弱性の対象かどうかがわかります。
【公式】Redhat CVE Database

スポンサーリンク


脆弱性対応済みかどうかを確認するには

更新履歴を確認して、該当の脆弱性に振られたCVEが対処済みであるかどうかを確認すればよいです。

▼更新履歴

# rpm -q --changelog openssl | head

上記コマンドでfixされている脆弱性情報を確認できます。
こんな感じで↓

* Fri Apr 29 2016 Toma? Mraz 1.0.1e-57
- fix CVE-2016-2105 - possible overflow in base64 encoding
- fix CVE-2016-2106 - possible overflow in EVP_EncryptUpdate()

上記の場合だと、CVE-2016-2105、CVE-2016-2106がfixされていることがわかります。

脆弱性対応についての考え方

yumでOpenSSLをインストールしている場合、アップストリーム提供のソースからの導入ではなく、CentOS/Redhatから提供されるOpenSSLを使用しているということになります。
よって、アップストリームのサポート期限に関係なく、セキュリティアップデートが行われます。

▼参考情報
https://access.redhat.com/solutions/1530413

※添付のPDFファイルを参照

-SKILL, CentOS
-,

Copyright© SCRAMBLE , 2019 All Rights Reserved.