pslaboが試したことの記録

はてなダイヤリーからはてなブログに引っ越してきました

この日記は現在実行中の減量記録を含む個人的なメモとして始めましたが、最近はコンピュータやガジェット、ハック、セキュリティネタのほうがメインになっております。

iPad3のSIMロックに関する考察とSIM下駄による解除の試みはSoftbank版iPad3にiPhone用のSIM下駄を履かせてみるにいろいろ書いてます。

ポストした内容のカテゴリー分けがちゃんと出来てないので、過去記事を探したい方はお手数ですが検索で探してみてください。


OpenSSL の DROWN や CacheBleed に関するアップデートがリリースされた模様。

昨日から今日にかけていろいろなことがありすぎて情報が整理しきれない……。

要約すると、

  • SSLv2ダメ絶対。2015年5月の FREAK のときの対応としてこれを無効化していれば今回の影響は受けないだろう。
  • AWS の ELB で SSL/TLS を利用している場合は2015年5月のセキュリティポリシーを適用していれば大丈夫。
  • 個別のインスタンスやサーバではRHEL/CentOSは Errata が出ているのでアップデートする。Ubuntu も apt-get upgrade する。

ニュース記事
OpenSSLの更新版公開、「DROWN」の脆弱性に対処 - ITmedia エンタープライズ

RHEL向けのErattaは出ているのでパッチ当てればよさげ。
CVE-2016-0800 - Red Hat Customer Portal

CentOSも、少なくともSRPMを見る限りではアップデートが出ているようだから、yum update すればよさげ。
Index of /5.11/updates/SRPMS

Ubuntuもアップデート出てます。
USN-2914-1: OpenSSL vulnerabilities | Ubuntu

Amazon Web Service で SSL/TLS を ELB で処理している場合は ELB のセキュリティポリシーを ELBSecurityPolicy-2015-05 にすればよいそうです。これは昨年の SSL/TLS 関連の際に普通は実施済みのハズですから、そういう意味では今回の件の影響は受けないといえますね。
CVE-2016-0800 Advisory

EC2 で SSL/TLS を処理している場合は当然ながら個別のインスタンスでの対応が必要。