OpenSSL脆弱性について

前へ 次へ
このQ&Aのポイント
  • OpenSSL関連のファイルが残っているが、脆弱性があるため削除すべきか
  • OpenSSLは自動で最新版にアップデートされるのか
  • OpenSSLが検索結果に表示されなければ脆弱性の問題はないのか
回答を見る
  • ベストアンサー

open ssl 脆弱性について

open ssl 関係のlibeay32.dll ssleay32.dll (openssl shared library ファイル説明、 the openssl toolkit 製品名) という二つのアプリケーション拡張ファイルがあるのですが、openssl をインストールしたことがなく、おそらくspybot S&Dについていたものだと思うのですが、openssl には脆弱性が存在しバージョンアップが必要と聞きました。 上記のファイルは削除すべきなのでしょうか? すでにspybot S&Dはアンインストールしてる状態で、なぜ残ってるのかがわからず、そのままにしていました。 また、openssl は自動で最新版にアップデートするのでしょうか?パソコン内でopen sslを検索しても、opensslというアプリケーション自体がなければ、脆弱性の問題はないのでしょうか? よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • Gotthold
  • ベストアンサー率47% (396/832)
回答No.2

> opensslというアプリケーション自体がなければ OpenSSLはアプリケーションではありません。ライブラリです。 ライブラリというのはソフトウェアの部品のようなもので 単独で動作することはなく 他のアプリケーションから読み込まれることで機能を提供します。 OpenSSLは様々なソフトで使われているので、 たとえば、HeartBleed脆弱性では以下のようなソフトウェア・サービスに影響が出ました。 オンライサービスや製品のHeartBleed(CVE-2014-0160)の影響についてまとめてみた - piyolog http://d.hatena.ne.jp/Kango/20140414/1397498442 対処ですが、そのOpenSSLのDLLを使っているアプリケーションが何かを調べて そのアプリケーションを最新版にするのが良いでしょう。 (絶対使わないなら削除しても良いでしょう。) なお、HeartBleed脆弱性はサーバー側の方が攻撃の影響を受けやすく 実際に大きく騒がれたのはサーバー側の方です。 しかし、クライアントの脆弱性を突くことも一応可能です。 とはいえ、クライアントのHeartBleed脆弱性をつくには サーバーから攻撃する必要があるので危険性はサーバーよりは低いと思われます。 (悪意を持ったサーバーにアクセスさせないといけないから現実的でない。) ただ、OpenSSLの脆弱性はHeartBleedだけではありませんし、 実際にその後にも見つかっています。 OpenSSLにまた危険度の高い脆弱性、中間者攻撃につながる恐れ、修正版が公開 -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20140606_652154.html また、脆弱性はOpenSSLだけでなくおよそすべてのソフトウェアに存在するものですから、 OpenSSLだけを気にするのではなく、 特にネットワークに繋がるOSやアプリケーションは可能な限り脆弱性がふさがれた最新版にしましょう。

vell224
質問者

お礼

ありがとうございます

その他の回答 (1)

  • ev8c
  • ベストアンサー率31% (9/29)
回答No.1

貴方は何かサーバを運用されているのでしょうか? ssl の意味を理解されていますか? http://www.atmarkit.co.jp/ait/articles/1301/23/news107.html には、 >Webサーバの管理・運用担当者にとっては、安全に個人情報を伝送できるように、SSLによる >暗号化通信機能をWebサーバに導入する必要に迫られることになる。 と書かれています。サーバを運用していなければ https://なんたら に接続する時に気をつければ良いだけの話でしょう。(つまり日頃からWEBサイトのURLを確かめること) >openssl は自動で最新版にアップデートするのでしょうか? そのような仕組みは無いようです。

vell224
質問者

お礼

ありがとうございます

  1. カテゴリ
  2. [技術者向] コンピューター
  3. 業務ソフトウェア
  4. オープンソース

関連するQ&A

  • Apache脆弱性対策(openssl)

    現在使用しているサーバにてApacheのバージョンが2.2.27で脆弱性があり、2.2.29にバージョンアップをしようとしているのですが、そのサーバにはOpenSSLも設定してあり、こちらはこの作業の前にopenssl0.9.8eの脆弱性対策としてopenssl0.9.8zcを配置し、モジュールをmakeまでしてある状態で、Apacheのバージョンアップの際にmake installを行い、Apacheにも適用させようとしているのですが、ビルドの前にspecファイルに「--with-ssl=/usr/local/ssl/bin」(←opensslモジュールが存在する場所) を追加したのですが、OpenSSLが実際に適用されていません。他に設定などが必要なのでしょうか。また確認の際に、logでバージョン確認をしたのですが、他に確認する方法はありますでしょうか。(openssl versionコマンドであると、表示だけ変わっている状態なので意味ないようです。)

  • SSLのを使った通信の際に起こるエラーについて

    unixにOpenSSL0.9.6aをインストールして、その中のデモプログラムを 実行したのですが、どうしてもSSL_connect()がうまくいきません。 サーバ側、クライアント側には、以下のようなメッセージが出ます。 クライアント側 3232:error:24064064:random number generator:SSLEAY_RAND_BYTES:PRNG not seeded:md_rand.c:474:You need to read the OpenSSL FAQ, http://www.openssl.org/support/faq .html Program exited with code 02. サーバ側 3233:error:140EC0E5:SSL routines:SSL2_READ_INTERNAL:ssl handshake failure:s2_pkt .c:142: クライアント側に出ているURLにアクセスし、呼んでみたのですが・・・いまいちよくわかりません。そのURLの日本語訳の載っているHPもあったので、そちらも参照したのですが、やはりよくわかりませんでした。 どのように対処したらよいのか、どなたかわかりましたら教えていただけるとうれしいです。 よろしくお願いします。

  • FreeBSDに詳しい方への質問です。

    FreeBSDに詳しい方への質問です。 先日、管理者に OpenSSL DTLS/SSL_get_shared_ciphersにおける脆弱性があると言われ、 opensslをバージョンアップするか パッチを当てろと言われました。 しかし、方法が分からず、結局 システムを6.2-RELEASE-p10へアップグレード しましたが、これで指摘された詭弱性は解決できているのでしょうか?

  • VBで使用できるDLL(SSL通信)をVC++で作成する。

    VBで使用できるDLLをVC++で作成しました。 内容は、SSL転送をWindowsで行うためのDLLです。 DLLではなくexeで作成したときはDOS窓からうまく動いたのですが、 DLLで作成をして、VBから呼んだときにエラーメッセージがでてプログラムは実行されません。 エラーメッセージは、 実行時エラー'53': ファイルが見つかりません:dll-file-name です。 エラーにはいろいろな要素があると思うのですが、 このエラーが出るか出ないかは、関数の中のSSL通信のプログラムを書くと このエラーがでます。 例>SSLeay_add_ssl_algorithms(); SSL通信の記述がなければ正常に実行されるので、この部分だけだと思うの ですが、特別な設定、記述があれば教えてください。 よろしくお願いします。

  • GmailをnPOP(Q)で削除しても完全にサーバーから削除できない

    GmailをnPOPとnPOPQで削除しても、完全にサーバーから削除できません。 WEBメールの「受信トレイ」からは削除されますが、「全てのフォルダー」に残ってしまいます。 GmailのWEBメール上で操作せず、nPOP(Q)等のメーラーで完全にサーバーから 削除する方法はないのでしょうか? なお、GmailはSSL対応なので下記DLLをnPOP(Q)と同じフォルダーに入れてあります。 npopssl.dll ssleay32.dll libeay32.dll

  • OpenSSLの共有ライブラリ(libcrypto.so)動的リンクにつきまして

    [環境] Linux version 2.6.9-67.EL gcc version 3.4.6 (Red Hat 3.4.6-8)) 以下のように、OpenSSLの共有ライブラリlibcrypto.soをロードする プログラムを書いているのですが、 ------ #include <stdio.h> #include <dlfcn.h> #include <errno.h> void main(void) { void* hSO; hSO = DLL_OPEN("/usr/local/ssl/lib/libcrypto.so", RTLD_NOW); if( hSO == NULL ) { printf("%s\n", dlerror()); } else { // 処理 } } ------ hSO = DLL_OPEN("/usr/local/ssl/lib/libcrypto.so", RTLD_NOW); で、NULLが返って来てしまいます。 [dlerror内容] /usr/local/ssl/lib/libcrypto.so: cannot open shared object file: No such file or directory しかし、このパスには、シンボリックリンクされたlibcrypto.soファイルが存在します。 試しに、同ディレクトリにあるlibcrypto.so.0.9.8mも試しましたが、同じエラーが出力されました。 パスの指定方法に、何か行う必要があるのでしょうか。

  • CentOs5.8Apacheのリビルド

    CentOS5.8でSNIを使おうと思っています。 そのためのOpenSSL1.0.1eはインストールできました そのOpensslをApacheに適用させるために既存のApacheのリビルドをしたいと思っています ですが、現在のApacheの設定をそのままにリビルドする方法はありますか? 現在1日はまってしまい、非常に困っています。 下記OpenSSLの更新作業 ===================================================== # wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz # tar zxvf openssl-1.0.1e.tar.gz # cd openssl-1.0.1e # ./config enable-tlsext -fPIC shared # make # make test # make install ※デフォルト/usr/local/ssl/にインストールされるみたいです。 ・まずはパスを認識させます # echo /usr/local/ssl/lib > /etc/ld.so.conf.d/openssl.conf # ldconfig ・既存のopensslの実行ファイルを今回インストールした物と変更します。 # cd /usr/bin # mv openssl openssl.old # ln -s /usr/local/ssl/bin/openssl ・シェアードライブラリが正しくリンクできているか確認 # ldd /usr/local/ssl/bin/openssl linux-vdso.so.1 => (0x00007fff49bf2000) libssl.so.1.0.0 => /usr/local/ssl/lib/libssl.so.1.0.0 (0x00002b5327442000) libcrypto.so.1.0.0 => /usr/local/ssl/lib/libcrypto.so.1.0.0 (0x00002b53276a7000) libdl.so.2 => /lib64/libdl.so.2 (0x0000003f36000000) libc.so.6 => /lib64/libc.so.6 (0x0000003f35400000) /lib64/ld-linux-x86-64.so.2 (0x0000003f34c00000) =================================================================================== 宜しくお願い致します。

  • OpenSSHがビルドできない……

    お世話になります、Raspberry Pi Model B(初代のやつです)で、OpenSSHをビルドしようとすると、 checking OpenSSL header version... 1000203f (OpenSSL 1.0.2c 12 Jun 2015) checking OpenSSL library version... 1000105f (OpenSSL 1.0.1e 11 Feb 2013) checking whether OpenSSL's headers match the library... no configure: error: Your OpenSSL headers do not match your library. Check config.log for details. If you are sure your installation is consistent, you can disable the check by running "./configure --without-openssl-header-check". Also see contrib/findssl.sh for help identifying header/library mismatches. と出てしまいコンパイルできません。 ./configure --with-ssl-dir=/usr/local/ssl --with-md5-passwords でコンパイルしており、SSLの位置は指定してあります。 なお、OpenSSLについては、「./config shared」でコンパイルしており共有ライブラリーがあります。 さらに、/etc/ld.so.confにもライブラリー位置は記載しておりntpdはそれで正常にビルドできています。 ・contrib/findssl.shの結果です。 Searching for OpenSSL header files. OPENSSL_VERSION_NUMBER /usr/src/openssl-1.0.2c/include/openssl/opensslv.h OPENSSL_VERSION_NUMBER /usr/src/openssl-1.0.2c/crypto/opensslv.h OPENSSL_VERSION_NUMBER /usr/src/openssl-1.0.2b/include/openssl/opensslv.h OPENSSL_VERSION_NUMBER /usr/src/openssl-1.0.2b/crypto/opensslv.h OPENSSL_VERSION_NUMBER /usr/local/ssl/include/openssl/opensslv.h Searching for OpenSSL shared library files. 0x1000105fL /usr/lib/arm-linux-gnueabihf/libcrypto.so.1.0.0 0x1000203fL /usr/src/openssl-1.0.2c/libcrypto.so.1.0.0 0x1000203fL /usr/src/openssl-1.0.2c/libcrypto.so 0x1000202fL /usr/src/openssl-1.0.2b/libcrypto.so.1.0.0 0x1000202fL /usr/src/openssl-1.0.2b/libcrypto.so 0x1000203fL /usr/local/ssl/lib/libcrypto.so.1.0.0 0x1000203fL /usr/local/ssl/lib/libcrypto.so Searching for OpenSSL static library files. 0x1000203fL /usr/src/openssl-1.0.2c/libcrypto.a 0x1000202fL /usr/src/openssl-1.0.2b/libcrypto.a 0x1000203fL /usr/local/ssl/lib/libcrypto.a 他にライブラリーを指定する必要があるのでしょうか? よろしくお願いいたします。

  • XAMPPのphpバージョンアップでopenssl

    XAMPP1.8.2にインストールされていたPHP5.4を、5.5に入替えました。 置き換え後、CURLがらみのエラーやUncaught exception 'RuntimeException' with message 'Error creating resource: [message] fopen(): Unable to find the wrapper httpsというようなエラーが出るようになってしまいました。PHPadminでみても、Registered PHP Streamsにhttpsの表示がありません。調べるとopensslの設定が・・・等でてくるのですが、iniファイルで当該部分はコメントアウトをはずしてあります。しかし、PHPadminでみると反映されていないようです。 何か設定漏れなどあるのだと思うのですが、お気づきの点があれば教えて頂けないでしょうか。 ★現状など★ *OSはwin7、pleiades(eclipse)同梱のXAMPP・phpを使っています *インストールしたPHPはphp-5.5.27RC1-Win32-VC11-x86です。 *旧バージョンのphpはバージョン5.4でした。 *iniファイルのextension=php_openssl.dllはコメントアウトはずしてあります。 *apach、windowsともに再起動等はしています *libeay32、ssleay32.dllはphp5のフォルダにありますがphp5apache2_2.dllは旧verのphpフォルダにしかありません。新しく入れたPHPのフォルダはXAMPP同梱時の旧バージョンに比べてすかすかです。

    • 締切済み
    • PHP
  • OpenSSLのPEMファイル入出力時の強制終了

    こんにちは。 現在WindowsXP環境にてOpenSSL(ver0.9.8.h)を使用したDLL(C言語)の作成を行っています。 そこでlibeay32.dll、libssl32.dllをsystem32に配置し、VC++を使用してDLL作成のプロジェクトでPEMファイルを読み込む関数を作成しました。 その関数の中で、PEM_write_RSA_PUBKEY、PEM_read_RSA_PUBKEY等を実行すると異常終了してしまいます。(エラーが表示されず、強制終了します。) そこで通常のプロジェクトで同じように作成し、実行しても駄目でした。 ですが、ファイル出力ではなく、stdout(コンソール)だとうまくいくのでよくわかりません。 どなたか原因のわかる方はいらっしゃいますでしょうか? OS:WindowsXP OpenSSL:0.9.8.h

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する