teratail
回答率
85.31%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.31%
トップCentOSに関する質問
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

Q&A

解決済

1回答

6891閲覧

OpenSSLのメジャーバージョン変更(アップデート)の方法について

Masashi_Ikuz
Masashi_Ikuz

総合スコア15

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

0グッド

0クリップ

投稿2017/10/28 10:24

0

0

OpenSSL バージョン1.0.1から、バージョン1.0.2または1.1.0にアップグレードする場合の手順(コマンド)を
教えていただけないでしょうか。

[環境]
・Webサーバ
・CentOS 6.7

※検索で方法を探してみたのですが、yum update による方法しか見当たらず。
yum updateでは同じバージョンの中でマイナーアップデートを行う認識です。

また、同じサーバにApache2.2、Tomcat7 がインストールしています。
SSL証明書を導入し、WEBにhttpsアクセスをさせています。
OpenSSLバージョンアップに伴い、これらのソフトへの影響はありますでしょうか?
別途これらソフトのアップデートや設定変更が必要でしょうか。

宜しくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

はっきり言います。OS標準のOpenSSLを、標準リポジトリ以外のルートで入れ替えるのはやめたほうがいいです

OpenSSLはOSの深くに絡んでくるライブラリであって、しかもバージョンアップごとにAPI・ABIが変わってくるので、他のライブラリも、再コンパイルが必要になったりと、極めて複雑怪奇なことになってしまいます。

たとえば、「Apacheでこの暗号化方式を使いたい」ということで新しいOpenSSLが必要、ということでしたら、

  1. 新しいOpenSSLを、標準のとは別な場所にインストールする
  2. 新しく入れたOpenSSLにリンクする形でApacheをソースから入れる

というな形で、「必要なところにだけ効かせる」形にすることをおすすめします。

投稿2017/10/28 10:38

maisumakun
maisumakun

総合スコア146581

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Masashi_Ikuz
Masashi_Ikuz

2017/10/29 12:41

maisumakun さん ご回答ありがとうございます。 OpenSSL1.0.1系が2016年でサポート終了、OpenSSL公式サイトでも1.0.2または1.10のパッケージしかなかったので、ある脆弱性に対応するため1.0.1から1.0.2にアップデートをする必要があると考えていました。 しかし、yum update の場合、1.0.1の最新ver(1.0.1e-57.el6)までしかアップデートできません。 皆さんはどのように対応されているのでしょうか。 何か根本的なところで間違えているのかもしれません。教えていただけないでしょうか。 よろしくお願い致します。
maisumakun
maisumakun

2017/10/29 13:03

RHEL系は、新しいバージョンで行われた脆弱性修正を、古いバージョンにもバックポートしています(CentOS 6のPHP 5.3.3もそのように保守されています)。 アップデート履歴を確認して、脆弱性対策が行われているか確認してみましょう。
Masashi_Ikuz
Masashi_Ikuz

2017/10/30 12:51

maisumakun さん ご返信ありがとうございます。 バックポートされているとのこと、「rpm -q --changelog openssl」にてアップデート履歴を確認します。 似たような質問も既にありましたね。失礼しました。 https://teratail.com/questions/66648 しかし、調べてみると以下のようにOpenSSLからダウンロードして対応している記事をみつけました。 http://www.ehowstuff.com/how-to-install-and-update-openssl-on-centos-6-centos-7/ 基本的には上記対応は必要ないと認識でよろしいでしょうか。 (例としてあるのかわかりませんが)バックポートされていない脆弱性に対応するため、上記対応をする場合もあるということでしょうか。 以上、よろしくお願いいたします。
maisumakun
maisumakun

2017/10/30 13:24

上の記事のコメントにもありますが、OSのOpenSSLを入れ替えて、全環境できちんと動作させるには、Apache、PHP、MySQLなど、OpenSSLライブラリに結びついたすべてを再コンパイルする必要が出てきます。 もともと全コンパイルが当たり前なGentooのようなディストリビューションならいざしらず、CentOSでそこまで大掛かりなことをやってしまうと、あとあとの保守管理が極めて面倒になってしまいます(事実上、yumからのインストールが不可能となります)。
Masashi_Ikuz
Masashi_Ikuz

2017/11/08 03:24

すみません。追加でアップデート履歴について確認をさせてください。 例えばlogjam(CVE2015-4000)の対応をしたい場合、 OpenSSLのアップデートによる、修正パッチ適用の判断は、 「rpm -q --changelog openssl」の結果、以下表記を確認できれば適用されているということでしょうか。 ※他に確認が必要なポイントがあれば教えてください。  ---------------------------------------------------------------  fix CVE2015-4000 prevent the logjam attack on client - restrict --------------------------------------------------------------- 以上、宜しくお願いいたします。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.31%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップCentOSに関する質問

OpenSSLのメジャーバージョン変更(アップデート)の方法について