FreeBSD - The Power To Serve |
FreeBSDプロジェクトは4月8日(米国時間)、「FreeBSD-SA-14:06.openssl」において、ユーザランドに取り込んでいるOpenSSL関連のソフトウェアにセキュリティ脆弱性が存在すると伝えた。FreeBSDプロジェクトがサポートしているすべてのバージョンが影響を受ける。セキュリティ脆弱性が修正されたバージョンはそれぞれ次のとおり。
- 2014-04-08 18:27:39 UTC (stable/10, 10.0-STABLE)
- 2014-04-08 18:27:46 UTC (releng/10.0, 10.0-RELEASE-p1)
- 2014-04-08 23:16:19 UTC (stable/9, 9.2-STABLE)
- 2014-04-08 23:16:05 UTC (releng/9.2, 9.2-RELEASE-p4)
- 2014-04-08 23:16:05 UTC (releng/9.1, 9.1-RELEASE-p11)
- 2014-04-08 23:16:19 UTC (stable/8, 8.4-STABLE)
- 2014-04-08 23:16:05 UTC (releng/8.4, 8.4-RELEASE-p8)
- 2014-04-08 23:16:05 UTC (releng/8.3, 8.3-RELEASE-p15)
FreeBSD 10.0-RELEASEなどをインストールしてデフォルトカーネルのまま使用している場合などは次の手順で修正版へアップデートできる。
freebsd-update fetch
freebsd-update install
shutdown -r now
アップデート後のバージョンは「10.0-RELEASE-p1」となる。
% freebsd-version
10.0-RELEASE-p1
%
OpenSSLのバージョンとしては次のようにアップデート前と同じバージョン名が表示されるが、セキュリティ脆弱性部分は修正されている。
% openssl version
OpenSSL 1.0.1e-freebsd 11 Feb 2013
%
なお、パッケージやPorts CollectionからOpenSSLをインストールして使っていたり、同ライブラリをスタティックに取り込んでいる場合などには別途対策が必要。OpenSSLのセキュリティ脆弱性が与える影響範囲は広範囲に及ぶとみられており、オペレーティングシステムから個々のソフトウェアに至るまで徹底した対処が求められる。
Rustで有名アルゴリズムに挑戦 第17回 RustでHTTPサーバを実装してみよう
