OpenSSLバージョンアップ（1.0.2系⇒1.1.1系）

環境

OS：CentOS Linux release 7.7.1908 (Core)
AWS環境
用途：社内ツールサーバ（Apache,MySQL）

実現したいこと

OpenSSLのバージョンアップを試行しています。
1.0.2kのOpenSSLを使用していますが、
今回1.1.1dにバージョンアップしようとしています。

現状

恥ずかしながら、システム経験が浅く知識がないため、
基本的にこのような込み入った作業時にはインターネット上の文献を参考にしながら
作業を行っています。

今回の参考文献は以下の通りです。

上記「OpenSSLを最新版へバージョンアップ(＋OpenSSH)」の文献を基に、
「OpenSSL-1.0.1iのインストール」の項目のコマンドの流れの通りに実行しました。

発生している問題

openssl versionコマンドを実行した際には、
今回インストールした「OpenSSL 1.1.1d 10 Sep 2019」が表示されました。

しかし、以下のコマンドを実行した際には、旧バージョンが表示されます。

[root@test_server ~]# rpm -qa | grep openssl
openssl-libs-1.0.2k-19.el7.x86_64
openssl-1.0.2k-19.el7.x86_64
openssl-devel-1.0.2k-19.el7.x86_64

[root@test_server ~]# yum list installed | grep openssl
Repository epel is listed more than once in the configuration
openssl.x86_64                 1:1.0.2k-19.el7                 @base
openssl-devel.x86_64           1:1.0.2k-19.el7                 @base
openssl-libs.x86_64            1:1.0.2k-19.el7                 @base

補足

他文献を読んでいると、OpenSSLはバージョンアップしない方がよいとか、
依存しているアプリケーションが動作しなくなるとか言われているものもありますが、
その明確な理由もイマイチ分かっていません。

そもそも脆弱性が出ているのにバージョンをあげなくてよい状況はあるのでしょうか。
※自社システムが脆弱性の対象外である場合を除いて

その他

情報の不備や知識不足に伴う認識の齟齬等があるかもしれませんが、
是非ご協力いただけますと幸いですm(_ _)m

###追記(2019/12/2)
CentOSについては、バックポートがされているという情報より、
手動での1.1.1系へのバージョンアップは行わない方針になりそうですが、以下の点が気になります。

実際にバックポートしているという公式の文献はあるのでしょうか？

　　rpm -q --changelog opensslで更新履歴は確認済みですが、
今回調査対象としている自社のサーバでは、
「CVE-2019-1547」「CVE-2019-1563」の2つについては、
更新履歴が確認できませんでした。※上記CVEについての参考文献
※CentOS公式は拝見しましたが、この文献のどこの記述が
いつまでバックポートするのかについての記述か分かっていません。。

OpenSSLの公式によると、1.0.2系のサポートは2019/12/31をもって終了するとあります。

サポートが終了した場合はバックポートもされない認識で合っていますでしょうか？

行動規範の内容に同意します

回答2件

ベストアンサー

そもそも脆弱性が出ているのにバージョンをあげなくてよい状況はあるのでしょうか。

CentOS付属のOpenSSLの場合、RedHatが旧バージョンにバックポートして脆弱性対策だけ取り込んでいる場合があります。「バックポートのアップデートで事足りて、1.0.2のままで脆弱性を直せるなら1.1.0に上げる必要はない」というのであれば、それでOKです。

OpenSSLはバージョンアップしない方がよいとか、依存しているアプリケーションが動作しなくなる

自分でソースから作った環境ならともかく、OpenSSLはバージョンを上げるとバイナリ互換がなくなることが多いので、OpenSSLをソースから入れた別バージョンに置き換える場合、OpenSSLを使うすべてのプログラム（SSLにアクセスできる言語処理系やサーバなども含みます）もソースから再コンパイルする必要が出てきます。事実上「rpmやyumを二度と使えず、依存性やアップデートの管理などもすべて自力で行わなければならない」ということになります。

投稿2019/11/28 02:52

編集2019/11/28 02:58

maisumakun

総合スコア145183

maisumakun

2019/11/28 02:54

「すべてをソースコードから作る」前提で運用するなら、Gentooなどそれ相応のディストリビューションを使うほうが適切かと思います。

rsitkwi

2019/11/28 03:28 編集

maisumakun様「rpmやyumを二度と使えず、依存性やアップデートの管理などもすべて自力で行わなければならない」 OpenSSLとyumやrpmも関係しているのですか…？もし可能であれば、その関係性等についてご説明いただけますと幸いです… 「RedHatが旧バージョンにバックポートして脆弱性対策だけ取り込んでいる場合がある」 `rpm -q --changelog openssl`で履歴を確認できましたが、確かにこれまでJPCERT等で周知されてきたCVE-○○○○-○○○○は大体はfixされていることも確認できました！但し、完全に網羅するようにバックポートされているわけでもなさそうですね… また、バックポートについて以下の回答もあったのですが、CentOSのサポート期限までバックポートが続けられるのかどうかについての文献の記載箇所が不明です… 何かご存知のことがあれば、ご教示いただけますと幸いです。「すべてをソースコードから作る」前提で運用する Gentooではなく、CentOSではすべてソースコードから作成する場合には、不足があるということですか？？

maisumakun

2019/11/28 03:57

> Gentooではなく、CentOSではすべてソースコードから作成する場合には、不足があるということですか？？そうですね、ソースコードを自力で管理する必要があります（GentooにはPortageといって、ソースコードからインストールするものまで管理できるツールが入っています）。

maisumakun

2019/11/28 03:59

> OpenSSLとyumやrpmも関係しているのですか…？ yumが動くPythonもOpenSSLに依存していますし、「手動で入れたコード」と「パッケージ管理ツールで入れたコード」が混在する環境では、パッケージマネージャは使い物になりません。

rsitkwi

2019/12/02 01:28

丁寧にご回答いただきありがとうございます。気になる点はまだまだありますが、本題から逸れていきそうなので、一旦こちらの返答は終了とさせていただきます。追加で気になる点につきまして、追記を行いましたので、もしご存知でしたらご教示いただけますと幸いです。

行動規範の内容に同意します

追加の質問について回答します。

実際にバックポートしているという公式の文献はあるのでしょうか？

changelog で確認できなければ、Red Hat の CVE サイトを見るといいと思います。

https://access.redhat.com/security/cve/cve-2019-1547
https://access.redhat.com/security/cve/cve-2019-1563

Affected ですので、影響があることは確認できたけれど、対応は未定ということだと思います。
他に深刻度の高い脆弱性といっしょに対応するかもしれないし、次の OS Update (CentOS 7.8) リリースのタイミングでリリースするかもしれません。
設定などで回避策がある場合、対応しないこともあります。