質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.53%

  • Linux

    4373questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

opensslの脆弱性対応(CVE-2016-2105~CVE-2016-2109)について

解決済

回答 3

投稿

  • 評価
  • クリップ 0
  • VIEW 2,089

kiyari

score 17

初めてこのサイトを利用させていただきます。
初歩的な内容となり申し訳ありません。

opensslの脆弱性対応(CVE-2016-2105~CVE-2016-2109)について、
影響の有無を確認しています。

・RedHat
https://access.redhat.com/ja/solutions/2310151

■当環境
OS:Red Hat Enterprise Linux Server release 5.11
OpenSSL 0.9.8e-fips-rhel5 

■質問内容

①Redhatのページを確認しますと、RedHat5系について、「openssl」と「openssl097a」の情報はあるのですが、
openssl098eについて、記載がありません。
RedHat5系でopenssl098eを利用している場合、特にCVE-2016-2106については、
影響の有無をどう判断されているのでしょうか。

②Redhat5系に「openssl」と記載がありますが、これはどのバージョンを指すのでしょうか。

③仮にRed Hat7系でopenssl-1.0.1e-51.el7_2.5で運用している場合、ステータスが「リリース済み」となっている場合、脆弱性対応はFIXされていると考えてよろしいのでしょうか?
最新バージョン(openssl-1.0.1e-51.el7_2.5)にする必要はありますか?

大変申し訳ありませんが、何卒お力添えをお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

checkベストアンサー

+2

①Redhatのページを確認しますと、RedHat5系について、「openssl」と「openssl097a」の情報はあるのですが、
openssl098eについて、記載がありません。
RedHat5系でopenssl098eを利用している場合、特にCVE-2016-2106については、
影響の有無をどう判断されているのでしょうか。
 
②Redhat5系に「openssl」と記載がありますが、これはどのバージョンを指すのでしょうか。

「openssl」、「openssl097a」は RPM のパッケージ名です。
RHEL 5 でリリースされている openssl は下記のとおりです。
RHEL 5 の「openssl」はバージョン 0.9.8e を指します。

パッケージ名 | バージョン
openssl      | 0.9.8e
openssl097a  | 0.9.7a

③仮にRed Hat7系でopenssl-1.0.1e-51.el7_2.5で運用している場合、ステータスが「リリース済み」となっている場合、脆弱性対応はFIXされていると考えてよろしいのでしょうか?
最新バージョン(openssl-1.0.1e-51.el7_2.5)にする必要はありますか?

「リリース済み」の行の「エラータ」や「パッケージ」のバージョン・リリースで FIX されています。
そのバージョン・リリース番号未満のパッケージをお使いでしたら、最新バージョンにアップデートする必要があります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/20 09:23

    ご回答ありがとうございました。
    こんなに丁寧に回答頂けると思っていませんでした。
    ありがとうございます。

    ①②について、よく分かりました。

    追加質問で大変申し訳ありませんが、③について「修正の予定なし」というのは、
     ・影響があるけど、サポートしない
     ・影響がないので、現バージョンで問題ない
     ・影響の有無を確認してない(or 確認中)
    のどれに該当するのでしょうか?

    何度も申し訳ありません。

    キャンセル

  • 2016/05/20 10:35

    それぞれの CVE 番号によって異なると思います。
    RedHat に問い合わせるのが確実ですが、
    RedHat の CVE のアナウンス(https://access.redhat.com/security/cve/CVE-2016-2108)
    Bugzilla (https://bugzilla.redhat.com/show_bug.cgi?id=1331402)
    本家の情報 (https://openssl.org/news/secadv/20160503.txt)
    などを参照すると、影響を受ける/受けないバージョンが記載されていることがあります。

    CVE-2016-2108 については、英語のページに切り替えると「Affected」に変わっています。
    おそらく、「影響があるけど、サポートしない」から「影響があり、対応を検討中」に変わったのかと。

    キャンセル

+1

直接的な回答でなくて恐縮ですが、redhatをご利用なのであれば、サポートも受けられるはずなので、公式の見解を求められるのが一番かと。特にセキュリティに関わる部分なので、公式見解をちゃんともらった方がいいですよ。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/20 09:30

    ありがとうございます。
    今後は公式サポートも利用していきます。

    キャンセル

+1

公式の回答が一番正確かと思いますが、とりあえず私見で回答いたします。

①opensslの情報を参照して問題ないです。
RHEL5系ではopenssl0.9.8系を採用しているので、opensslを参照して問題ないです。
別途古いバージョンをインストールする人の為にopenssl097があり、
パッケージ名もopenssl097となっております。
またyum list install | grep openssl で得られるパッケージ名と照らし合わせれば問題ないです。

②上記の通り0.9.8系です。

③ステータスがリリース済みになった日付(あるいはバージョン番号)を確認し、
その日付以降にyum update を実行していれば対応したものがインストールされています。
そうでなければ対応済みのバージョンがインストールされていません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/20 15:23

    丁寧に回答していただきありがとうございます。
    投稿順で別の方をベストアンサーにしました。
    またよろしくお願いしますm○m

    キャンセル

同じタグがついた質問を見る

  • Linux

    4373questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。