昨日から今日にかけていろいろなことがありすぎて情報が整理しきれない……。
要約すると、
- SSLv2ダメ絶対。2015年5月の FREAK のときの対応としてこれを無効化していれば今回の影響は受けないだろう。
- AWS の ELB で SSL/TLS を利用している場合は2015年5月のセキュリティポリシーを適用していれば大丈夫。
- 個別のインスタンスやサーバではRHEL/CentOSは Errata が出ているのでアップデートする。Ubuntu も apt-get upgrade する。
ニュース記事
OpenSSLの更新版公開、「DROWN」の脆弱性に対処 - ITmedia エンタープライズ
RHEL向けのErattaは出ているのでパッチ当てればよさげ。
CVE-2016-0800 - Red Hat Customer Portal
CentOSも、少なくともSRPMを見る限りではアップデートが出ているようだから、yum update すればよさげ。
Index of /5.11/updates/SRPMS
Ubuntuもアップデート出てます。
USN-2914-1: OpenSSL vulnerabilities | Ubuntu
Amazon Web Service で SSL/TLS を ELB で処理している場合は ELB のセキュリティポリシーを ELBSecurityPolicy-2015-05 にすればよいそうです。これは昨年の SSL/TLS 関連の際に普通は実施済みのハズですから、そういう意味では今回の件の影響は受けないといえますね。
CVE-2016-0800 Advisory
