DigiLoog

朝っぱらのニュースとかで報道されていたので知っている人もいるだろうが、
この脆弱性発覚によって、今週は地獄を見たインフラ屋が多かった事だろう(´・ω:;.:…

今回の脆弱性をPCに疎い人にでもわかるように書くなら、
『キャッシュカードと暗証番号のヒント(『1+1=2が暗号になっちょるよ!』レベル)を
自宅のポストの中に入れておいた』
というような感じかと。
つまり、『やろうと思えばキャッシュカードを利用出来る状態』になっていたのが今回の脆弱性。

PCに詳しい人向けの解説なら、DeNAが公開している記事がわかりやすくて、
概要も把握出来るのでオススメ。
DeNA : 巷を賑わすHeartbleedの脆弱性とは?!

…自分の場合、公になる前に今回の脆弱性を知る事が出来たので早くから対応に動けたのだが、
今回のは対策打つのも凄～～～く大変だった(´・ω・｀)

まず、影響範囲が大きすぎた。
OpenSSLを利用しているのは、サーバサイドだと証明書,https,VPN,etc…と色々あるのだが、
今回のは一部クライアントソフトにも影響が出たのが一つの理由。
クライアントの大御所だと、OpenVPNとかWinSCP(FTPS)が対象に。
また、一部の商用ソフトウェアでも影響が判明してきた模様。
注:今は修正版がアップされている
NW分野だと、Cisco(IOS XE)の大御所からBIG-IP等のUNIXベースまで幅広く脆弱性対象に。

それら全てに対処していくのは骨が折れた。

そんな今回の脆弱性だが、殆どの場合でBugFixが出ているので今だったら、
ソフトのアップロードをして対応すれば良いかと。
RedHat系統なら『yum update』した後に対象サービスをリスタート。
OpenSUSEなら『zypper update』、Debianなら『apt-get update』とか、
それぞれのディストリビューションに合致した方法でアップロードを。

が、問題なのが"make等で独自ビルドしたミドルウェア"の存在。
自分の環境にも数台あるのだが、OpenSSLに紐付いているのが多すぎるので、
結局殆どをリビルドする様な自体に…
OpenSSLだけアップデートすれば良いようなアナウンスもあるのだが、
事が事なのでちゃんと対処をしないと後々ブーメランしそうなので。

で、ここからが脇に逸れた話になるのだが『今回の脆弱性って本当にヤバいの?』という声がチラホラ。
という事で、自実験環境でレッツトライしてみた所、
自分みたいなアホでもhttpsのセッションIDを取る事は可能だった。
…やり方の紹介はアレなので勘弁してね。わかる人なら、↑のブログ記事を見ればなんとなく把握出来るかと。

TCP/IPの事を囓ってないと出来ないレベルではあるが、その程度のレベルで出来てしまうのがアカン。
というのも、ここまで簡単だとスクリプトキディが横行しそうなのが。
ガチの自宅鯖運営者とかなら多重FW+IDS位は構築していそうだけど、
今回のOpenSSL脆弱性はそれすらも通過する可能性があるわけで…

『一つの暗号処理(ライブラリ)に依存するとこうなるのか～』と身に染みた一週間でした(´；ω；｀)

---