OpenSSLのバージョン確認方法あれこれ

Pocket

システム部の鈴木です。

先日、OpenSSLのバージョン1.0.1~1.0.2における深刻な脆弱性が見つかりました。
http://www.jpcert.or.jp/at/2014/at140013.html

heartbleed

何が問題かというと、この脆弱性を利用してサーバのメモリ上にあるデータを盗むことができちゃうというものです。

該当のバージョンでHeartBeatエクステンションが有効な場合のバグとのことからHeartBleed と呼ばれているバグですが
幸いなことに弊社で管理しているサーバはすべて該当のバージョンには当てはまらず大きな問題もありませんでした。
しかし深刻な問題なのでまだ未確認な方はぜひ確認を行ってください。

というわけで、OpenSSLのバージョン確認方法あれこれです。

 

CLIでの確認

RPMでインストールしている場合は rpm -q openssl
ソースコードからインストール、FreeBSDなどの場合は openssl version
で確認できます。

 

HeartBleed Test

https://filippo.io/Heartbleed/

CLIが使えない、そんなのわからないという人にはこれがいちばんお手軽かもしれませんね。

 

調査の結果、問題のあるバージョンを使っていた場合は早急にアップグレード、またはダウングレードして
問題のあるバージョンの使用を停止してください。

また証明書の再発行が必要になる場合がありますので、証明書の発行元(ベリサインやグローバルサインなど)のサイトを見て
掲載さている内容に沿って対応しましょう。