先に結論
現在opensslをソースインストールあと、lib64でlibssl.so、libcrypt.soを入れ替えて試してみましたが、パッケージでいれたものは、perl以外成功にはならず。なので、そのままでもいける方法が見つからないのであれば、既存のライブラリを残したまま、opensslを別でコンパイルして、LD_LIBRALY_PATHに追加して、各プログラムをソースコンパイルですかね。。。
何かわかったら、更新します。 知っている方いらっしゃいましたら、ご教示願います。。。
きっかけ
perl周りで複数のDB繋いで遊ぶみたいなことをやってたんだけど、そこのエントリーは、また次にする。。。
んで、OpenSSLってなんでいきなり話題にあがったかというと、
話としてはこの辺がトリガー
CVE-2015-0291のほうがすごい深刻な問題だと感じたけど、CVE-2015-0204のほうだけ対応できればいいということが判明。
そうなると外部通信時にデータ抜かれるだけっぽいし、まぁいいかな?と思ったけど、そういうわけにもいかないので、調べてみることに。
そもそも、OpenSSLってライブラリとして利用しているものが多すぎて影響範囲がわかんねぇよ。ってところからのスタートです。
※今回の話は影響調査〜構築までとなりそうなので、以下のシリーズの7〜20までは読んでないと意味わからないかもね。
http://www.atmarkit.co.jp/ait/kw/buildlamp.html
恥ずかしながら、知らないことばかりでした。
さて、話を戻すと、OpenSSLで私が使っている中で影響を受けそうなのは、
ただ、きになるのは、更新された後、そのまま動くんですか? 本当に新しくなったものを利用しているんですか?
ですね。
ソースで入れたのは各々で認識しているはずなので、それは置いといて、yum,aptで入れた人はどういう状態なのか確認しておくとしましょう。
基本的に作業ログに関しては全てgistに登録して、結果だけブログに記載するようにしたいです。
そうなると外部通信時にデータ抜かれるだけっぽいし、まぁいいかな?と思ったけど、そういうわけにもいかないので、調べてみることに。
そもそも、OpenSSLってライブラリとして利用しているものが多すぎて影響範囲がわかんねぇよ。ってところからのスタートです。
※今回の話は影響調査〜構築までとなりそうなので、以下のシリーズの7〜20までは読んでないと意味わからないかもね。
http://www.atmarkit.co.jp/ait/kw/buildlamp.html
恥ずかしながら、知らないことばかりでした。
さて、話を戻すと、OpenSSLで私が使っている中で影響を受けそうなのは、
- webサーバー
- php,perlなどのプログラミング言語(外部通信するなら)
- sshd, ssh, wget, curl,etc
- RDBMS(ビルドオプション次第かな。)
ただ、きになるのは、更新された後、そのまま動くんですか? 本当に新しくなったものを利用しているんですか?
ですね。
ソースで入れたのは各々で認識しているはずなので、それは置いといて、yum,aptで入れた人はどういう状態なのか確認しておくとしましょう。
vagrant box list
centos6.64 (virtualbox, 0)
centos7.64 (virtualbox, 0)
debian7.8.64 (virtualbox, 0)
freebsd10.1.64 (virtualbox, 0)
perlでDB操作する時用にvagrantのboxは自作してあるので、この中からcentos6とdebian7.8で確認していくとしましょう。
freebsdは書いていくと説教されそうなのでやめとこう。
で、各々のものに関してはきっと確認していくポイントが違いそうなので、各々のページを作って後でまとめをこのページに書くかな。
基本的に作業ログに関しては全てgistに登録して、結果だけブログに記載するようにしたいです。
各プログラムの確認及び更新作業
- opensslのインストール
- 公式のバイナリとそのファイルのありか・ソースコンパイル
- 公式のパッケージ
- perl
- php
- sshd
- apache
- 公式パッケージを再利用できるか?
なお、調査当初から見ていこうとしている順番が異なっています。
どうしても、公式パッケージ環境構築=>公式パッケージ環境確認=>opensslビルド=>適用作業=>確認となるので、上記の順番に変更を行いました。
あっ、openssl周りでwindowsからssh系の作業ができるやつははサーバー云々とかとは別に新しいプログラムが出ているはずなので、ちゃんと更新してますよね?
彼らはきっとopensslについては静的リンクになっているか、opensslのライブラリがディレクトリ内にいるはずなので、ちゃんと更新しましょう
0 件のコメント:
コメントを投稿