From se-harada @ e.sgu.ac.jp Wed Apr 16 14:53:37 2014 From: se-harada @ e.sgu.ac.jp (HARADA SGU) Date: Wed, 16 Apr 2014 05:53:37 +0000 Subject: [Ultramonkey-l7-users 564] =?iso-2022-jp?b?Q1ZFLTIwMTQtMDE2MBskQiROQlAxfiRLJEQkJCRGGyhC?= Message-ID: <1815421bf7c7429c9ac97859d62b0876@HKNPR03MB065.apcprd03.prod.outlook.com> 札幌の原田です。こんにちは。 先週来、OpenSSLの脆弱性(CVE-2014-0160)が話題となっておりますが 脆弱性に該当するバージョンのOpenSSLがインストールされていたサーバに おいて、Ultramonkey-L7 をSSLで運用していた場合に推奨される対応としては 何か特別な作業が必要でしょうか? ・OpenSSLのバージョンを脆弱性に対応した版数に上げる ・新たな秘密鍵でSSLサーバ証明書を更新し、従来のサーバ証明書は失効させる ・UltraMonkey-L7のサービスを再起動 でよいのかなと考えておりますが、UltraMonkey-L7を、yumリポジトリパッケージに よるインストールを行っていた場合と、tar ball によるインストールを行っていた場合 それぞれにおいて、注意すべき点がございましたらご教示いただければ幸いです。 (tar ballからだとmakeしなおす必要があったりするのか?) よろしくお願いいたします。 From nakano.hiroaki @ nttcom.co.jp Wed Apr 16 15:12:45 2014 From: nakano.hiroaki @ nttcom.co.jp (Hiroaki Nakano) Date: Wed, 16 Apr 2014 15:12:45 +0900 Subject: [Ultramonkey-l7-users 565] Re: =?iso-2022-jp?b?Q1ZFLTIwMTQtMDE2MBskQiROQlAxfiRLJEQkJCRGGyhC?= In-Reply-To: <1815421bf7c7429c9ac97859d62b0876@HKNPR03MB065.apcprd03.prod.outlook.com> References: <1815421bf7c7429c9ac97859d62b0876@HKNPR03MB065.apcprd03.prod.outlook.com> Message-ID: <534E1F5D.2030707@nttcom.co.jp> 中野です。 こんにちは。 (2014/04/16 14:53), HARADA SGU wrote: > 札幌の原田です。こんにちは。 > > 先週来、OpenSSLの脆弱性(CVE-2014-0160)が話題となっておりますが > 脆弱性に該当するバージョンのOpenSSLがインストールされていたサーバに > おいて、Ultramonkey-L7 をSSLで運用していた場合に推奨される対応としては > 何か特別な作業が必要でしょうか? > > ・OpenSSLのバージョンを脆弱性に対応した版数に上げる > ・新たな秘密鍵でSSLサーバ証明書を更新し、従来のサーバ証明書は失効させる > ・UltraMonkey-L7のサービスを再起動 これで良いと思います。 > でよいのかなと考えておりますが、UltraMonkey-L7を、yumリポジトリパッケージに > よるインストールを行っていた場合と、tar ball によるインストールを行っていた場合 > それぞれにおいて、注意すべき点がございましたらご教示いただければ幸いです。 > (tar ballからだとmakeしなおす必要があったりするのか?) makeし直す必要はないと思います。 再起動したときに、入れ替えたOpenSSLの共有ライブラリl7vsdの プロセスメモリ空間にロードして関数へのリンクテーブルを作る だけですので。 # もしmakeが必要だと、世の中のOpenSSLライブラリをsharedリンクしている # アプリケーションすべてが再コンパイル必要になっちゃいます。 https通信でなければOpenSSLの更新も必要ないんですが、UltraMonkey-L7でSSL 使う通信って、大抵httpsですよね^^; ということで、原田さんの書かれた3stepの手順でいいと思います。 > よろしくお願いいたします。 > > > > > > _______________________________________________ > Ultramonkey-l7-users mailing list > Ultramonkey-l7-users @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/ultramonkey-l7-users > > > -- 中野 宏朗 (NAKANO Hiroaki) From se-harada @ e.sgu.ac.jp Wed Apr 16 17:44:40 2014 From: se-harada @ e.sgu.ac.jp (HARADA SGU) Date: Wed, 16 Apr 2014 08:44:40 +0000 Subject: [Ultramonkey-l7-users 566] Re: =?iso-2022-jp?b?Q1ZFLTIwMTQtMDE2MBskQiROQlAxfiRLJEQkJCRGGyhC?= In-Reply-To: <534E1F5D.2030707@nttcom.co.jp> References: <1815421bf7c7429c9ac97859d62b0876@HKNPR03MB065.apcprd03.prod.outlook.com>, <534E1F5D.2030707@nttcom.co.jp> Message-ID: 原田です。 中野様、アドバイスありがとうございました。 >> (tar ballからだとmakeしなおす必要があったりするのか?) > > makeし直す必要はないと思います。 > 再起動したときに、入れ替えたOpenSSLの共有ライブラリl7vsdの > プロセスメモリ空間にロードして関数へのリンクテーブルを作る > だけですので。 > > # もしmakeが必要だと、世の中のOpenSSLライブラリをsharedリンクしている > # アプリケーションすべてが再コンパイル必要になっちゃいます。 恥ずかしながらよく分かっていなかった点でした。 staticリンクしているアプリケーション(Phusion Passengerなど)については OpenSSLのバージョンアップ後再コンパイルの必要がでてきたりするのですね。 勉強になりました。 > https通信でなければOpenSSLの更新も必要ないんですが、UltraMonkey-L7でSSL > 使う通信って、大抵httpsですよね^^; Heartbleed脆弱性は、STARTTLSのSMTP, POP3, IMAP, FTPなどHTTPS以外にも影響すると 言われておりますが、UltraMonkey-L7にてHTTPS以外でSSLを使っている場合は この脆弱性の影響は受けないのでしょうか? https://www.kb.cert.org/vuls/id/720951 当方のUltraMonkey-L7上にはいくつかそのようなサービスがあり 念のため対応しました。