CentOS 6 OpenSSL パディング Oracle の脆弱性 (CVE-2016-2107)

tag-icon tag-icon centos centos6 openssl
CentOS 6 OpenSSL パディング Oracle の脆弱性 (CVE-2016-2107)

のせいで、ssllabs.com での総合評価が非常に悪くなっていますOpenSSL Padding Oracle Vulnerability (CVE-2016-2107)

現在私が使用しているのは以下のものです(本番環境):

  • OpenSSL 1.0.1e
  • 6.5 の
  • Apache 2.2.26 (手動でインストール。ここでは yum は使用しません)

詳細はこちら:

yum info openssl

Installed Packages
Name        : openssl
Arch        : x86_64
Version     : 1.0.1e
Release     : 57.el6
Size        : 4.1 M
Repo        : installed
From repo   : base
Summary     : A general purpose cryptography library with TLS implementation
URL         : http://www.openssl.org/
License     : OpenSSL
Description : The OpenSSL toolkit provides support for secure communications between
            : machines. OpenSSL includes a certificate management tool and shared
            : libraries which provide various cryptographic algorithms and
            : protocols.

Available Packages
Name        : openssl
Arch        : i686
Version     : 1.0.1e
Release     : 57.el6
Size        : 1.5 M
Repo        : base
Summary     : A general purpose cryptography library with TLS implementation
URL         : http://www.openssl.org/
License     : OpenSSL
Description : The OpenSSL toolkit provides support for secure communications between
            : machines. OpenSSL includes a certificate management tool and shared
            : libraries which provide various cryptographic algorithms and
            : protocols.

rpm -q --changelog "openssl" | head -n 7
* Tue Jan 31 2017 Tomáš Mráz <[email protected]> 1.0.1e-57
- fix CVE-2017-3731 - DoS via truncated packets with RC4-MD5 cipher

* Wed Nov 02 2016 Tomáš Mráz <[email protected]> 1.0.1e-55
- fix CVE-2016-8610 - DoS of single-threaded servers via excessive alerts

* Sat Oct 22 2016 Tomáš Mráz <[email protected]> 1.0.1e-54

ldd mod_ssl.so
ldd: ./mod_ssl.so: No such file or directory

tail -n 200 error_log | grep notice
[Tue Mar 20 14:38:24 2018] [notice] Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/1.0.1h mod_perl/2.0.5 Perl/v5.10.1 configured -- resuming normal operations

rpm -qa |grep openssl
openssl-1.0.1e-57.el6.x86_64

この問題を解決するにはどうすればいいでしょうか? 現在 CentOS 6.5 をアップグレードできません。また、yum upgrade openssl何も返されません。

編集:

/usr/local/apache2/bin/apachectl -M
Loaded Modules:
 core_module (static)
 authn_file_module (static)
 authn_default_module (static)
 authz_host_module (static)
 authz_groupfile_module (static)
 authz_user_module (static)
 authz_default_module (static)
 auth_basic_module (static)
 include_module (static)
 filter_module (static)
 deflate_module (static)
 log_config_module (static)
 env_module (static)
 expires_module (static)
 headers_module (static)
 setenvif_module (static)
 version_module (static)
 proxy_module (static)
 proxy_connect_module (static)
 proxy_ftp_module (static)
 proxy_ht

答え1

システムにインストールできる OpenSSL と Apache の個別のパッケージを誰かが構築しているかどうか調べてみてください。

ただし、OS の古さを考えると、その OS には複数の脆弱性があるため、システム全体をアップグレードする必要があります。

関連情報