zuntan02のはてなブログ

備忘録的なものです。時々職場の技術者ブログにも転記してますが、メインはこちらで。

OpenSSL脆弱性(20140606)対応メモ

■情報まとめ
# OpenSSLにまた重大な脆弱性、直ちにパッチ適用を
http://www.itmedia.co.jp/news/articles/1406/06/news034.html

# CCSインジェクション (CVE-2014-0224)
https://www.ipa.go.jp/security/ciadr/vul/20140606-jvn.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

# CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介
http://lepidum.co.jp/blog/2014-06-05/CCS-Injection/

# 発見者の報告
http://ccsinjection.lepidum.co.jp/ja.html



【適用について】

yum update openssl*

【パッケージのバージョンについて】
さくらのクラウドとかのRedHat/CentOS
→バージョンがOpenSSL(1.0.1h/0.9.8za)とズレるので下記メモ。

        • -

CentOS6のパッケージは以下のバージョン
openssl-1.0.1e-16.el6_5.14
https://rhn.redhat.com/errata/RHSA-2014-0625.html

        • -
        • -

CentOS5のパッケージは以下のバージョン
openssl-0.9.8e-27.el5_10.3
http://lists.centos.org/pipermail/centos-announce/2014-June/020349.html

        • -
        • -

Amazon Linux
openssl-1.0.1h-1.72.amzn1.x86_64

        • -


※該当バージョンが出てこない場合は
sudo yum clean all
を行い、キャッシュをクリアしてから再度試してみてください。