こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

締切り済みの質問

Apache脆弱性対策(openssl)

現在使用しているサーバにてApacheのバージョンが2.2.27で脆弱性があり、2.2.29にバージョンアップをしようとしているのですが、そのサーバにはOpenSSLも設定してあり、こちらはこの作業の前にopenssl0.9.8eの脆弱性対策としてopenssl0.9.8zcを配置し、モジュールをmakeまでしてある状態で、Apacheのバージョンアップの際にmake installを行い、Apacheにも適用させようとしているのですが、ビルドの前にspecファイルに「--with-ssl=/usr/local/ssl/bin」(←opensslモジュールが存在する場所) を追加したのですが、OpenSSLが実際に適用されていません。他に設定などが必要なのでしょうか。また確認の際に、logでバージョン確認をしたのですが、他に確認する方法はありますでしょうか。(openssl versionコマンドであると、表示だけ変わっている状態なので意味ないようです。)

投稿日時 - 2015-01-15 00:00:42

QNo.8891828

すぐに回答ほしいです

このQ&Aは役に立ちましたか?

8人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(1)

ANo.1

下記のいずれかで対処可能と思われます。

(a) OpenSSL を make depend する前に、全ての Makefile の -lcrypto を
-lcrypto -Wl,-rpath -Wl,/usr/local/ssl/lib に置換する。
(b) (apacheのインストール先)/bin/envvarsファイルのLD_LIBRARY_PATHに
/usr/local/lib/sslを追加する。
(c) OpenSSLを -fPICオプション付きで、かつ静的ビルドする。
(d) /etc/ld.so.confに/usr/local/lib/sslを追加して ldconfig を実行する。

が、(a)は仕組みを知らないと難しいと思います。
また、(d)はシステム全体に影響を及ぼすのでおすすめしません。(※)
なので、(b)を検討されてみてはいかがでしょうか。envvarsにLD_LIBRARY_PATHを設定するパッチを用意してあげれば行けるはずです。
(c)はOpenSSLをsharedオプション付きでconfigし、インストールした後/usr/local/ssl/lib配下のlibcrypto.soとlibssl.soを別の名前に変えた状態でApacheをビルドするとできると思います。

※容易さ: d -> c -> b -> d、おすすめ度: a -> b -> c -> d

投稿日時 - 2015-01-18 23:17:47

-広告-
-広告-
-広告-
-広告-