質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

Q&A

解決済

3回答

4647閲覧

centOS のOpenSSL脆弱性対応について

tfline_w

総合スコア37

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

0グッド

5クリップ

投稿2015/07/16 03:24

いくつかのサーバ(centOS)の保守を担当している社内SEです。
OpenSSL の脆弱性が公開されるたびに、ソースのダウンロード → コンパイル → httpd の再起動ということをやっているのですが、
社内の別のSEは、コンパイル等をやったことがないので、パッケージが公開されるのを待って、yum でupdate しているそうです。確かに、yum でupdateすれば、依存性の問題などもクリアしてくれるので便利だと思います。
ただ、パッケージの公開は、かなりタイムラグがあるようです。
たとえば、CVE-2015-1793(2015.7.9公開) に対するパッケージは、2015.7.16現在でまだ公開されていません。
そこまで脆弱性を放置しておいていいのか悩んでいるようです。

そこで、centOS等のLinuxサーバを保守しているエンジニアの方にお聞きしたいです。

  • OpenSSLの脆弱性対応は、yum ?それとも、ソースコンパイル?
  • yum の場合、どうやってパッケージの公開をキャッチしていますか?
  • パッケージが公開されるまでの間、脆弱性を放置しておいて問題は出ていませんか?

よろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

CVE-2015-1793 については、RHEL で提供されている openssl には該当しないとのことですので、CentOS でも同様だと思います。

https://access.redhat.com/security/cve/CVE-2015-1793

OpenSSLの脆弱性対応は、yum ?それとも、ソースコンパイル?

以下を考えると yum update です。

  • 依存関係の問題
  • 手間 (新しめのバージョンのみで見つかる脆弱性対応含む)

yum の場合、どうやってパッケージの公開をキャッチしていますか?

RHEL や CentOS の Errata

パッケージが公開されるまでの間、脆弱性を放置しておいて問題は出ていませんか?

Critical のものは情報収集したり対応手順を考えているうちに RHEL から先にリリースされます。CentOS は 1日遅れくらい。特に問題は出ていないと思います。

投稿2015/07/16 04:21

TaichiYanagiya

総合スコア12141

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

tfline_w

2015/07/21 02:57

ありがとうございました。参考になります。
guest

0

ベストアンサー

OpenSSLの脆弱性対応は、yum ?それとも、ソースコンパイル?

基本的には yum でアップデートしています。

公開される脆弱性も、全てのバージョンで影響があるというものは少ないので
JPCERT等で影響のあるバージョンを確認して、
即対応する必要があるかどうかを検討しています。

HeartBleedのような影響度の大きかったものは、
更新の遅いリポジトリでもすぐに対応されていました。

たまに緊急でソースからコンパイルする必要がでてくることもあるので、
その場合だけrpmbuildしてyum localinstallで管理するようにしています。

yum の場合、どうやってパッケージの公開をキャッチしていますか?

RHN Errata Alertをメールで受け取るようにしています。

パッケージが公開されるまでの間、脆弱性を放置しておいて問題は出ていませんか?

特に問題は出ていません。

投稿2015/07/16 08:34

dx033.massy

総合スコア23

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

tfline_w

2015/07/21 02:56

ありがとうございました。参考になります。
guest

0

OpenSSLの脆弱性対応は、yum ?それとも、ソースコンパイル?

yum でしています。

yum の場合、どうやってパッケージの公開をキャッチしていますか?

CentOS の Announce のメーリングリストを購読しています。
http://lists.centos.org/mailman/listinfo/centos-announce

また、主要なパッケージをインストールした適当なサーバで、cron で yum check-update を定期的に実行し、更新がある場合はメールで通知されるようにしています。

パッケージが公開されるまでの間、脆弱性を放置しておいて問題は出ていませんか?

今のところでていません。

投稿2015/07/16 07:17

ngyuki

総合スコア4514

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

tfline_w

2015/07/21 02:57

ありがとうございます。yum check-update の定期実行はいい方法ですね。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問