こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

解決済みの質問

去年openSSLのセキュリティホールが発見されて

サポート済みのFedora18を使っている者として心配しています
現在使っているFedora18のopenSSLのバージョンは

# rpm -q openssl
openssl-1.0.1e-37.fc18.x86_64
#

の通りです

http://kb.sp.parallels.com/jp/120989
には
OpenSSL 1.0.1e-37.fc19.1
OpenSSL 1.0.1e-37.fc20.1
はセキュリティ対策をしたバージョンとであると書いていました

”OpenSSL 1.0.1e-37”の部分が同じであることを考えると
ひょっとして
openssl-1.0.1e-37.fc18.x86_64
もセキュリティ対策済みなのでしょうか?
Fedora18はサポート終了しているのでにわかには信じられません

投稿日時 - 2015-01-19 09:39:42

QNo.8896530

暇なときに回答ください

質問者が選んだベストアンサー

>”OpenSSL 1.0.1e-37”の部分が同じであることを考えると
>ひょっとして
>openssl-1.0.1e-37.fc18.x86_64
>もセキュリティ対策済みなのでしょうか?

リンク先のページによると…脆弱性の報告があったのが 2014年4月10日かな?
んで、openssl-1.0.1e-37.fc18.src.rpmの登録日が…
http://mirrors.kernel.org/fedora/updates/18/SRPMS/
によると、2014年1月8日。
FTPでの同期で、日付が前後したとしても…3ヶ月後の未来に報告される脆弱性の修正は不可能かと。
ChangeLogもにも…
* Tue Jan 7 2014 Tom叩邸 Mr叩z <tmraz@redhat.com> 1.0.1e-37
- fix CVE-2013-4353 - Invalid TLS handshake crash
- fix CVE-2013-6450 - possible MiTM attack on DTLS1
が最新のようですし。(sprmを展開して、openssl.spec内を確認)

”OpenSSL 1.0.1e-37”というのは、
opeenssl-1.0.1eの「そのディストリビューションでの『37』番目のリリース」という意味でしかありません。
specファイルだと
Name: openssl
Version: 1.0.1e
Release: 37%{?dist}
の記述部分。
たまに番号が飛んだり、別の番号がついたりすることはありますが、
リリース番号が同一だからと言ってサポートの終わったモノに対して処理されることはありません。
# ましてFedoraですし…。

よって…未対策です。
自前でパッチ当てたりして対処しない限りは脆弱性が残ったままとなります。
サポート終了というのはそういう意味で、「安全になったからパッチが適用されなくなった」ではありませんのであしからず。
# 以前にFedora18はサポート終わっている。という誰かの回答に対してそのように返答していたかと思いますが…。

影響度が大きいと、有志よるパッチ宛てがされることはありますけどね。
# んで、パッチ宛てをがんばってみようとした方と思われる質問が…
# https://gist.github.com/dahjelle/10151097
# でしょうか。ちゃんと読んでませんけど。
# Fedora bug report.から引っ張って来たPatchを当てようとしている…んでしょうかねぇ……。
# 元のソースの方にOPENSSL_NO_HEARTBEATSに対応したコードが入っていないとspecファイルにだけパッチ当てても意味ないのですが…。

投稿日時 - 2015-01-19 12:17:04

お礼

詳しい回答ありがとうございます

Fedora19以降強制フォールバックモードがなくなったので
仕方なくFedora18を使っています
少し回避の方法を探してみます

投稿日時 - 2015-01-19 20:21:20

ANo.1

このQ&Aは役に立ちましたか?

12人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(1)

-広告-
-広告-
-広告-
-広告-