OpenSSL に新たな脆弱性が発見される
2014年6月6日の早朝、当サーバーにて yum update コマンドを実行したところ、OpenSSL のアップデートが案内されました。この時点で内容はまったく把握していませんでしたが、「Heartbleed」の件もありましたので、とりあえずこのアップデートを受け入れています。
ちなみに、このところは、ほぼ毎日アップデートのチェックを実施しています。
SSL/TLS MITM vulnerability (CVE-2014-0224) https://www.openssl.org/news/secadv_20140605.txt
この件が重大な脆弱性とされています。
MITM は、Man in the Middle の略で、情報セキュリティ用語の 中間者攻撃 Man-in-the-Middle attack を表しています。
OpenSSL より公開されている文書では、 0.9.8za、1.0.0m、1.0.1h へのアップグレードを勧めています。
さて、今回 yum update でリリースされていた OpenSSL は、1.0.1e-16.el6_5.14。
http://lists.centos.org/pipermail/centos-announce/2014-June/020344.html
https://rhn.redhat.com/errata/RHSA-2014-0625.html
これらより、CentOS6 では、このリリースにて対応とのことです。
当サイトは、https にて一般に公開(リンク)しているページがありませんが、あえて https で閲覧することもできます。そのようなこともあり、念のため。