質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

91.78%

  • CentOS

    1740questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

  • OpenSSL

    66questions

    OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

centOS のOpenSSL脆弱性対応について

解決済

回答 3

投稿 2015/07/16 12:24

  • 評価
  • クリップ 4
  • VIEW 1,582

tfline_w

score 18

いくつかのサーバ(centOS)の保守を担当している社内SEです。
OpenSSL の脆弱性が公開されるたびに、ソースのダウンロード → コンパイル → httpd の再起動ということをやっているのですが、
社内の別のSEは、コンパイル等をやったことがないので、パッケージが公開されるのを待って、yum でupdate しているそうです。確かに、yum でupdateすれば、依存性の問題などもクリアしてくれるので便利だと思います。
ただ、パッケージの公開は、かなりタイムラグがあるようです。
たとえば、CVE-2015-1793(2015.7.9公開) に対するパッケージは、2015.7.16現在でまだ公開されていません。
そこまで脆弱性を放置しておいていいのか悩んでいるようです。

そこで、centOS等のLinuxサーバを保守しているエンジニアの方にお聞きしたいです。

  • OpenSSLの脆弱性対応は、yum ?それとも、ソースコンパイル?
  • yum の場合、どうやってパッケージの公開をキャッチしていますか?
  • パッケージが公開されるまでの間、脆弱性を放置しておいて問題は出ていませんか?
よろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

+2

CVE-2015-1793 については、RHEL で提供されている openssl には該当しないとのことですので、CentOS でも同様だと思います。
 
https://access.redhat.com/security/cve/CVE-2015-1793

OpenSSLの脆弱性対応は、yum ?それとも、ソースコンパイル?

以下を考えると yum update です。
  • 依存関係の問題
  • 手間 (新しめのバージョンのみで見つかる脆弱性対応含む)

yum の場合、どうやってパッケージの公開をキャッチしていますか?

RHEL や CentOS の Errata

パッケージが公開されるまでの間、脆弱性を放置しておいて問題は出ていませんか?

Critical のものは情報収集したり対応手順を考えているうちに RHEL から先にリリースされます。CentOS は 1日遅れくらい。特に問題は出ていないと思います。

投稿 2015/07/16 13:21

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    以下のような回答は評価を下げられます

    • 間違っている回答
    • 質問の回答になっていない投稿
    • 不快な投稿

    評価を下げる際はその理由をコメントに書き込んでください。

  • 2015/07/21 11:57

    ありがとうございました。参考になります。

    キャンセル

checkベストアンサー

+1

OpenSSLの脆弱性対応は、yum ?それとも、ソースコンパイル?
基本的には yum でアップデートしています。

公開される脆弱性も、全てのバージョンで影響があるというものは少ないので
JPCERT等で影響のあるバージョンを確認して、
即対応する必要があるかどうかを検討しています。

HeartBleedのような影響度の大きかったものは、
更新の遅いリポジトリでもすぐに対応されていました。

たまに緊急でソースからコンパイルする必要がでてくることもあるので、
その場合だけrpmbuildしてyum localinstallで管理するようにしています。

yum の場合、どうやってパッケージの公開をキャッチしていますか?
RHN Errata Alertをメールで受け取るようにしています。

パッケージが公開されるまでの間、脆弱性を放置しておいて問題は出ていませんか?
特に問題は出ていません。

投稿 2015/07/16 17:34

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    以下のような回答は評価を下げられます

    • 間違っている回答
    • 質問の回答になっていない投稿
    • 不快な投稿

    評価を下げる際はその理由をコメントに書き込んでください。

  • 2015/07/21 11:56

    ありがとうございました。参考になります。

    キャンセル

+1

OpenSSLの脆弱性対応は、yum ?それとも、ソースコンパイル?

yum でしています。

yum の場合、どうやってパッケージの公開をキャッチしていますか?

CentOS の Announce のメーリングリストを購読しています。
http://lists.centos.org/mailman/listinfo/centos-announce

また、主要なパッケージをインストールした適当なサーバで、cron で yum check-update を定期的に実行し、更新がある場合はメールで通知されるようにしています。

パッケージが公開されるまでの間、脆弱性を放置しておいて問題は出ていませんか?

今のところでていません。

投稿 2015/07/16 16:17

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    以下のような回答は評価を下げられます

    • 間違っている回答
    • 質問の回答になっていない投稿
    • 不快な投稿

    評価を下げる際はその理由をコメントに書き込んでください。

  • 2015/07/17 13:58 編集

    .

    キャンセル

  • 2015/07/21 11:57

    ありがとうございます。yum check-update の定期実行はいい方法ですね。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

ただいまの回答率

91.78%

関連した質問

同じタグがついた質問を見る

  • CentOS

    1740questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

  • OpenSSL

    66questions

    OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

閲覧数の多いCentOSの質問