🎄teratailクリスマスプレゼントキャンペーン2024🎄』開催中!

\teratail特別グッズやAmazonギフトカード最大2,000円分が当たる!/

詳細はこちら
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

サーバ

サーバは、 クライアントサーバモデルにおいてクライアントからの要求に対し 何らかのサービスを提供するプログラムを指す言葉です。 また、サーバーソフトウェアを稼動させているコンピュータ機器そのもののことも、 サーバーと呼ぶ場合もあります。

Q&A

解決済

2回答

51239閲覧

OpenSSLバージョンアップ(1.0.2系⇒1.1.1系)

rsitkwi

総合スコア14

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

サーバ

サーバは、 クライアントサーバモデルにおいてクライアントからの要求に対し 何らかのサービスを提供するプログラムを指す言葉です。 また、サーバーソフトウェアを稼動させているコンピュータ機器そのもののことも、 サーバーと呼ぶ場合もあります。

1グッド

2クリップ

投稿2019/11/28 02:45

編集2019/12/02 01:32

環境

  • OS:CentOS Linux release 7.7.1908 (Core)
  • AWS環境
  • 用途:社内ツールサーバ(Apache,MySQL)

実現したいこと

OpenSSLのバージョンアップを試行しています。
1.0.2kのOpenSSLを使用していますが、
今回1.1.1dにバージョンアップしようとしています。

現状

恥ずかしながら、システム経験が浅く知識がないため、
基本的にこのような込み入った作業時にはインターネット上の文献を参考にしながら
作業を行っています。

今回の参考文献は以下の通りです。

上記「OpenSSLを最新版へバージョンアップ(+OpenSSH)」の文献を基に、
「OpenSSL-1.0.1iのインストール」の項目のコマンドの流れの通りに実行しました。

発生している問題

openssl versionコマンドを実行した際には、
今回インストールした「OpenSSL 1.1.1d 10 Sep 2019」が表示されました。

しかし、以下のコマンドを実行した際には、旧バージョンが表示されます。

[root@test_server ~]# rpm -qa | grep openssl openssl-libs-1.0.2k-19.el7.x86_64 openssl-1.0.2k-19.el7.x86_64 openssl-devel-1.0.2k-19.el7.x86_64
[root@test_server ~]# yum list installed | grep openssl Repository epel is listed more than once in the configuration openssl.x86_64 1:1.0.2k-19.el7 @base openssl-devel.x86_64 1:1.0.2k-19.el7 @base openssl-libs.x86_64 1:1.0.2k-19.el7 @base

補足

他文献を読んでいると、OpenSSLはバージョンアップしない方がよいとか、
依存しているアプリケーションが動作しなくなるとか言われているものもありますが、
その明確な理由もイマイチ分かっていません。

そもそも脆弱性が出ているのにバージョンをあげなくてよい状況はあるのでしょうか。
※自社システムが脆弱性の対象外である場合を除いて

その他

情報の不備や知識不足に伴う認識の齟齬等があるかもしれませんが、
是非ご協力いただけますと幸いですm(_ _)m

###追記(2019/12/2)
CentOSについては、バックポートがされているという情報より、
手動での1.1.1系へのバージョンアップは行わない方針になりそうですが、以下の点が気になります。

  1. 実際にバックポートしているという公式の文献はあるのでしょうか?

  rpm -q --changelog opensslで更新履歴は確認済みですが、
今回調査対象としている自社のサーバでは、
「CVE-2019-1547」「CVE-2019-1563」の2つについては、
更新履歴が確認できませんでした。※上記CVEについての参考文献
CentOS公式は拝見しましたが、この文献のどこの記述が
いつまでバックポートするのかについての記述か分かっていません。。

  1. OpenSSLの公式によると、1.0.2系のサポートは2019/12/31をもって終了するとあります。

サポートが終了した場合はバックポートもされない認識で合っていますでしょうか?

kyoya0819👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

そもそも脆弱性が出ているのにバージョンをあげなくてよい状況はあるのでしょうか。

CentOS付属のOpenSSLの場合、RedHatが旧バージョンにバックポートして脆弱性対策だけ取り込んでいる場合があります。「バックポートのアップデートで事足りて、1.0.2のままで脆弱性を直せるなら1.1.0に上げる必要はない」というのであれば、それでOKです。

OpenSSLはバージョンアップしない方がよいとか、依存しているアプリケーションが動作しなくなる

自分でソースから作った環境ならともかく、OpenSSLはバージョンを上げるとバイナリ互換がなくなることが多いので、OpenSSLをソースから入れた別バージョンに置き換える場合、OpenSSLを使うすべてのプログラム(SSLにアクセスできる言語処理系やサーバなども含みます)もソースから再コンパイルする必要が出てきます。事実上「rpmやyumを二度と使えず、依存性やアップデートの管理などもすべて自力で行わなければならない」ということになります。

投稿2019/11/28 02:52

編集2019/11/28 02:58
maisumakun

総合スコア145967

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

maisumakun

2019/11/28 02:54

「すべてをソースコードから作る」前提で運用するなら、Gentooなどそれ相応のディストリビューションを使うほうが適切かと思います。
rsitkwi

2019/11/28 03:28 編集

maisumakun様 「rpmやyumを二度と使えず、依存性やアップデートの管理などもすべて自力で行わなければならない」 OpenSSLとyumやrpmも関係しているのですか…? もし可能であれば、その関係性等についてご説明いただけますと幸いです… 「RedHatが旧バージョンにバックポートして脆弱性対策だけ取り込んでいる場合がある」 `rpm -q --changelog openssl`で履歴を確認できましたが、 確かにこれまでJPCERT等で周知されてきたCVE-○○○○-○○○○は 大体はfixされていることも確認できました! 但し、完全に網羅するようにバックポートされているわけでもなさそうですね… また、バックポートについて以下の回答もあったのですが、CentOSのサポート期限までバックポートが 続けられるのかどうかについての文献の記載箇所が不明です… 何かご存知のことがあれば、ご教示いただけますと幸いです。 「すべてをソースコードから作る」前提で運用する Gentooではなく、CentOSではすべてソースコードから作成する場合には、 不足があるということですか??
maisumakun

2019/11/28 03:57

> Gentooではなく、CentOSではすべてソースコードから作成する場合には、 不足があるということですか?? そうですね、ソースコードを自力で管理する必要があります(GentooにはPortageといって、ソースコードからインストールするものまで管理できるツールが入っています)。
maisumakun

2019/11/28 03:59

> OpenSSLとyumやrpmも関係しているのですか…? yumが動くPythonもOpenSSLに依存していますし、「手動で入れたコード」と「パッケージ管理ツールで入れたコード」が混在する環境では、パッケージマネージャは使い物になりません。
rsitkwi

2019/12/02 01:28

丁寧にご回答いただきありがとうございます。 気になる点はまだまだありますが、本題から逸れていきそうなので、 一旦こちらの返答は終了とさせていただきます。 追加で気になる点につきまして、追記を行いましたので、もしご存知でしたらご教示いただけますと幸いです。
guest

0

追加の質問について回答します。

実際にバックポートしているという公式の文献はあるのでしょうか?

changelog で確認できなければ、Red Hat の CVE サイトを見るといいと思います。

https://access.redhat.com/security/cve/cve-2019-1547
https://access.redhat.com/security/cve/cve-2019-1563

Affected ですので、影響があることは確認できたけれど、対応は未定ということだと思います。
他に深刻度の高い脆弱性といっしょに対応するかもしれないし、次の OS Update (CentOS 7.8) リリースのタイミングでリリースするかもしれません。
設定などで回避策がある場合、対応しないこともあります。

サポートが終了した場合はバックポートもされない認識で合っていますでしょうか?

本家(アップストリーム)がサポート終了しても、RHEL はバックポートするはずです。
CentOS も RHEL に準ずると思いますが、その保証はありません。

投稿2019/12/02 15:46

TaichiYanagiya

総合スコア12173

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

rsitkwi

2019/12/03 03:47

なるほどですね… とりあえず脆弱性が見つかった時には、バックポートされているかどうか確認して、 されていなければ、別途対応を検討する方針で進めたいと思います。 ご回答いただきありがとうございました!
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.36%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問