opensslの脆弱性対応(CVE-2016-2105~CVE-2016-2109)について
解決済
回答 3
投稿
- 評価
- クリップ 0
- VIEW 2,824
初めてこのサイトを利用させていただきます。
初歩的な内容となり申し訳ありません。
opensslの脆弱性対応(CVE-2016-2105~CVE-2016-2109)について、
影響の有無を確認しています。
・RedHat
https://access.redhat.com/ja/solutions/2310151
■当環境
OS:Red Hat Enterprise Linux Server release 5.11
OpenSSL 0.9.8e-fips-rhel5
■質問内容
①Redhatのページを確認しますと、RedHat5系について、「openssl」と「openssl097a」の情報はあるのですが、
openssl098eについて、記載がありません。
RedHat5系でopenssl098eを利用している場合、特にCVE-2016-2106については、
影響の有無をどう判断されているのでしょうか。
②Redhat5系に「openssl」と記載がありますが、これはどのバージョンを指すのでしょうか。
③仮にRed Hat7系でopenssl-1.0.1e-51.el7_2.5で運用している場合、ステータスが「リリース済み」となっている場合、脆弱性対応はFIXされていると考えてよろしいのでしょうか?
最新バージョン(openssl-1.0.1e-51.el7_2.5)にする必要はありますか?
大変申し訳ありませんが、何卒お力添えをお願いします。
-
気になる質問をクリップする
クリップした質問は、後からいつでもマイページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
クリップを取り消します
-
良い質問の評価を上げる
以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します
-
評価を下げられる数の上限に達しました
評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる
teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 過去に投稿した質問と同じ内容の質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します
この機能は開放されていません
評価を下げる条件を満たしてません
質問の評価を下げる機能の利用条件
この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
-
メールアドレスの認証
メールアドレスの認証
-
質問評価に関するヘルプページの閲覧
質問評価に関するヘルプページの閲覧
checkベストアンサー
+2
①Redhatのページを確認しますと、RedHat5系について、「openssl」と「openssl097a」の情報はあるのですが、
openssl098eについて、記載がありません。
RedHat5系でopenssl098eを利用している場合、特にCVE-2016-2106については、
影響の有無をどう判断されているのでしょうか。
②Redhat5系に「openssl」と記載がありますが、これはどのバージョンを指すのでしょうか。
「openssl」、「openssl097a」は RPM のパッケージ名です。
RHEL 5 でリリースされている openssl は下記のとおりです。
RHEL 5 の「openssl」はバージョン 0.9.8e を指します。
パッケージ名 | バージョン
openssl | 0.9.8e
openssl097a | 0.9.7a
③仮にRed Hat7系でopenssl-1.0.1e-51.el7_2.5で運用している場合、ステータスが「リリース済み」となっている場合、脆弱性対応はFIXされていると考えてよろしいのでしょうか?
最新バージョン(openssl-1.0.1e-51.el7_2.5)にする必要はありますか?
「リリース済み」の行の「エラータ」や「パッケージ」のバージョン・リリースで FIX されています。
そのバージョン・リリース番号未満のパッケージをお使いでしたら、最新バージョンにアップデートする必要があります。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
+1
直接的な回答でなくて恐縮ですが、redhatをご利用なのであれば、サポートも受けられるはずなので、公式の見解を求められるのが一番かと。特にセキュリティに関わる部分なので、公式見解をちゃんともらった方がいいですよ。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
+1
公式の回答が一番正確かと思いますが、とりあえず私見で回答いたします。
①opensslの情報を参照して問題ないです。
RHEL5系ではopenssl0.9.8系を採用しているので、opensslを参照して問題ないです。
別途古いバージョンをインストールする人の為にopenssl097があり、
パッケージ名もopenssl097となっております。
またyum list install | grep openssl で得られるパッケージ名と照らし合わせれば問題ないです。
②上記の通り0.9.8系です。
③ステータスがリリース済みになった日付(あるいはバージョン番号)を確認し、
その日付以降にyum update を実行していれば対応したものがインストールされています。
そうでなければ対応済みのバージョンがインストールされていません。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
15分調べてもわからないことは、teratailで質問しよう!
- ただいまの回答率 88.36%
- 質問をまとめることで、思考を整理して素早く解決
- テンプレート機能で、簡単に質問をまとめられる
2016/05/20 09:23
こんなに丁寧に回答頂けると思っていませんでした。
ありがとうございます。
①②について、よく分かりました。
追加質問で大変申し訳ありませんが、③について「修正の予定なし」というのは、
・影響があるけど、サポートしない
・影響がないので、現バージョンで問題ない
・影響の有無を確認してない(or 確認中)
のどれに該当するのでしょうか?
何度も申し訳ありません。
2016/05/20 10:35
RedHat に問い合わせるのが確実ですが、
RedHat の CVE のアナウンス(https://access.redhat.com/security/cve/CVE-2016-2108)、
Bugzilla (https://bugzilla.redhat.com/show_bug.cgi?id=1331402)、
本家の情報 (https://openssl.org/news/secadv/20160503.txt)
などを参照すると、影響を受ける/受けないバージョンが記載されていることがあります。
CVE-2016-2108 については、英語のページに切り替えると「Affected」に変わっています。
おそらく、「影響があるけど、サポートしない」から「影響があり、対応を検討中」に変わったのかと。