ブログ
OpenSSLのバージョン確認方法あれこれ
2014.04.15
システム部の鈴木です。
先日、OpenSSLのバージョン1.0.1~1.0.2における深刻な脆弱性が見つかりました。
http://www.jpcert.or.jp/at/2014/at140013.html
何が問題かというと、この脆弱性を利用してサーバのメモリ上にあるデータを盗むことができちゃうというものです。
該当のバージョンでHeartBeatエクステンションが有効な場合のバグとのことからHeartBleed と呼ばれているバグですが
幸いなことに弊社で管理しているサーバはすべて該当のバージョンには当てはまらず大きな問題もありませんでした。
しかし深刻な問題なのでまだ未確認な方はぜひ確認を行ってください。
というわけで、OpenSSLのバージョン確認方法あれこれです。
CLIでの確認
RPMでインストールしている場合は rpm -q openssl ソースコードからインストール、FreeBSDなどの場合は openssl version で確認できます。
HeartBleed Test
https://filippo.io/Heartbleed/
CLIが使えない、そんなのわからないという人にはこれがいちばんお手軽かもしれませんね。
調査の結果、問題のあるバージョンを使っていた場合は早急にアップグレード、またはダウングレードして
問題のあるバージョンの使用を停止してください。
また証明書の再発行が必要になる場合がありますので、証明書の発行元(ベリサインやグローバルサインなど)のサイトを見て
掲載さている内容に沿って対応しましょう。