自分が使いたくてミニマムなGrowthForecastのDockerfileが欲しかったので作ってみた。
とりあえずDocker hubに投げてみたけど、Buildingから進まないので細かいことはあとで書く。
あと、いくつか考えたポイントをGistにぺらぺら書き残してる。
これだけでいける。
mkdir -p $HOME/vol/gf
docker run -d --name growthforecast -v $HOME/vol/gf:/data:rw -p 5125:5125 nekoruri/growthforecast:0.1
Passengerは、デフォルトでRAILS_ROOT/config/environment.rbのファイル所有者の権限で実行されるため、一般的なインストール状況であればpublic以下にファイルを置いたり等なんでもできます。特に、パスワード無しでのsudoが可能なユーザでファイルを置いていた場合には、なんでも、できることを、手元では検証しました。
ワーカプロセスは使い回されるため、百発百中ではありませんが、一定のリクエスト毎にワーカプロセスを捨てて作り直すPassengerMaxRequestsが設定されていたり、アクセス量に応じてワーカプロセス数が変動するデフォルト設定であれば、繰り返しの試行により再現が可能と思われます。
影響を受けたウェブサイトやソフトウェアの対応については、piyologさんの以下の記事に詳しいです。
この記事では、それ以外の動きについてまとめていきます。先週の2つの記事と違い、あくまで個人的興味によるものです。
【おしらせ】 国民のための情報セキュリティサイトでは、OpenSSLの脆弱性に関する注意喚起を掲載しました。#総務省 #情報セキュリティ #SSLURL
2014-04-16 08:18:54 via web
これまでに4万件以上確認され、今月12日の午前3時からは1時間で最も多い5088件が検知
remove FIPS mode support. people who require FIPS can buy something that meets their needs, but dumping it in here only penalizes the rest of us.意訳: FIPSなんて金持ちの道楽知らんボケ
皆さんご存じのとおり、トリプル握手は有害と思われ。そこにはこんな一文も: 「主要な TLS 実装はどれも素数判定をしていない。」 (訳注: TLS のリジュームと再ネゴの両方が可能な善良サーバに対して、同じクライアント証明書を受け取ることのある悪サーバが MITM できる。DH の場合、pre-master secret を制御するために素数どころか偶数を使う exploit が可能で、たいていバレない)
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。
他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。
まだ直っていないウェブサイトもあれば、元々壊れていないウェブサイトもあるので、「直したからパスワード変更してね」って言ってきたら変更してください。あと、悪い人が偽メール送ってきているので、メールで連絡してきたとしても、ブラウザのブックマークから開きましょう。
ここからはエンジニア向けの詳細です。
いわゆる「SSL通信」と呼ばれる暗号化通信は、実際にはSSL 3.0とより新しいTLS 1.0〜1.2(互換性のためプロトコル上の番号は3.1〜3.3)というプロトコルで定義されています。これらを使うために、様々なソフトウェアが利用している共通ライブラリが OpenSSL です。今回の脆弱性は、このTLS 1.2に追加されたハートビート拡張*1の実装の不具合によるものです。
SSL通信の最初「ハンドシェーク」段階でSSL証明書の検証などを行いますが、今回の脆弱性はそのハンドシェーク段階の中でも発生する*2ため、正しいSSL証明書を持っていなくても攻撃が成立します。ほとんどの場合にログが残らないのもこのためです。
攻撃者は、通信の相手のメモリ内容を取得することができます。一回で最大64キロバイト、同じプロセス内の情報に限られますが、ログに残らず、めぼしい情報が取得できるまで何度でも繰り返すことができるため(これがメモリガチャと呼ばれる理由)、プロセス内の全ての情報が漏洩したと考えるべきです。
「同じプロセス」というところが問題で、どのプロセスがSSL通信をしたかによってリスクが大きく変わります。
ロードバランサーはSSLのサーバ側として、SSL証明書の秘密鍵をメモリ内に保持します。この秘密鍵が攻撃者に漏洩します。
SSL処理をしているところでデータが漏洩した場合のリスクは、大きく三つあります。
(これは、Apache等でSSL処理をしている場合も同様です!)
空きメモリ内には、直前の通信内容がクリアされず残っている場合があります。SSL処理が終わり復号された平文の通信内容もふくまれるため、以下のような攻撃が成立します。
特に意識せず設定されたSSLサーバの場合、SSL証明書の秘密鍵を知っている攻撃者は、暗号化されているはずの通信内容を復号して、内容を見ることができます。
特に、毎年SSL証明書を更新する毎に秘密鍵を作り直していなかった場合、過去の通信内容を保存している組織*3があった場合、過去に遡って全ての通信内容を復号して、そのなかのあらゆる情報を知ることができます。たとえ毎年秘密鍵を生成し直していた場合でも、直近の最大1年間の通信内容は全て筒抜けです。
これに対しては、Forward Secrecyという対策が存在します。
ただし、これまで必要性が重要視されなかった(まさかこれほど大規模に秘密鍵が漏洩する脆弱性が見つかるなんて思われていなかった)、性能が従来のRSAより若干遅い、などの理由があってあまり普及していません。今回を良い機会として、利用している暗号化アルゴリズムを見直し、Forward Secrecyを有効にするのが良いでしょう。Verisignから証明書ビジネスを引き継いだSymantecは以下のように主張しています。
結論として、ウェブサイトが RSA から離れて Forward Secrecy を提供するとともに、極めて低速なDHEよりもECDHE 鍵交換を配備することを、我々は強く推奨します。
たとえば、sns.example.jp というSNSのSSL証明書秘密鍵が漏洩したとします。攻撃者はすかさず、その秘密鍵を使って、sns.example.jp の正当なSSL証明書を持った偽サーバを公開できます。公衆Wifiを使っていたり、DNSへの攻撃を併用すれば、その偽サーバにアクセスさせることができます。
アドレスバーを見ろと言ったところで正しいドメインで鍵が表示されているわけですし、たとえEV-SSL証明書を使ってアドレスバーを緑に染め上げていたとしても、全く同じ証明書でサーバを用意されてしまっては無力です。
これが、脆弱性のあるバージョンを使っていた場合に証明書の再発行だけでなく、「失効」が必要となる理由です。
アプリケーションサーバの前段にApacheやnginxを設置し、そこでSSL処理を行っていた場合です。
ロードバランサーの場合に加えて、以下の情報が漏洩します。
mod_php5やmod_perlなどを利用し、Apacheモジュールとしてウェブアプリケーションを動かしていた場合です。
これまで登場した全ての内容に加えて、以下の内容が漏洩します。
ここまでくると、想定されるリスクはかなり大きいです。
PHPであっても、PHP-FPMを使うなどApacheとプロセスを分けることで、権限ごと分離できるので、今回を期に挑戦すると良いのでは無いでしょうか*4。
SSH系を除くほぼ全てのクライアントアプリケーションの暗号化通信が当てはまりますし、サーバ側であっても、外部のAPIサーバへの通信などにはあてはまります。
あくまでこの場合、攻撃者が用意したサーバに接続しない限り安全であると考えられますが、その一方で、DNSキャッシュポイズニングやBGPのハイジャックなど、攻撃する側がトラフィックを呼び込むための手法が存在しています。
これをされた場合、そのクライアントが持っている接続先リストやそこに含まれるユーザー・パスワードが漏洩します。
外部に接続するサーバ側アプリであれば、前述の「ApacheでSSLを提供し、脆弱性があった場合 (mod_php5,mod_perl等)」と同等です。例えばSSLサーバとしては社内からの接続しか受けていなかったとしても、抜け道があるので、やはり上げておきましょう、ということです。
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。
漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして別の記事に書きましたのでそちらをご覧くださいまし。
基本的には、パッケージ更新などでOpenSSLをバージョンアップして、そのあとOpenSSLを読んでいるサービスを再起動します。外部サーバへの接続なども含めるとOpenSSLを利用するサービスが多いので、よく分からない人はサーバごと再起動がおすすめ。
1.0.1からの新機能による脆弱性なので、1.0.0とそれ未満であれば問題ありません。逆に、1.0.1eやそれ以前のバージョン番号のまま脆弱性のみ修正される場合もあるので、OpenSSLのバージョンだけでなく、パッケージのバージョンを確認してください。
| ディストリ | どうすればいいか |
|---|---|
| Debian Wheezy (stable)以降 | DSA-2896-1 stable: libssl1.0.0 1.0.1e-2+deb7u5 で修正 testing/unstable: libssl1.0.0 1.0.1g-1 で修正 |
| Ubuntu 12.04.4 LTS以降 | [USN-2165-1] 12.04: libssl1.0.0 1.0.1-4ubuntu5.12 で修正 12.10 libssl1.0.0 1.0.1c-3ubuntu2.7 で修正 13.10 libssl1.0.0 1.0.1e-3ubuntu1.2 で修正 |
| RHEL 6.5 | [RHSA-2014:0376-1] openssl-1.0.1e-16.el6_5.7で修正 |
| CentOS 6.5 | [CESA-2014:0376] openssl-1.0.1e-16.el6_5.7 で修正 |
| Scientific Linux 6.5 | openssl-1.0.1e-16.el6_5.7 で修正 |
| Fedora 18以降 | [Bug 1085065] Fedora 19: openssl-1.0.1e-37.fc19.1 で修正 Fedora 20: openssl-1.0.1e-37.fc20.1 で修正 (Fedora 18はサポート切れのため公式パッケージ無し) |
| OpenBSD 5.3以降 | [Patches for OpenSSL bounds checking bug] パッチあり: 5.3 / 5.4 / 5.5 |
| FreeBSD ports | [[ports] Revision 350548] security/openssl 1.0.1_10 で修正 |
| FreeBSD 10.0 | [FreeBSD-SA-14:06.openssl] freebsd-updateでバイナリ更新するかpatchあててbuildworld/installworld/reboot |
| NetBSD pkgsrc | [NetBSD Security Advisory 2014-004] openssl-1.0.1gで修正 |
| NetBSD 6.0以降 | [NetBSD Security Advisory 2014-004] 各arch向けにビルド済みバイナリが配布されている。 |
| OpenSUSE 12.2 | [openSUSE:Maintenance:2718] |
| Amazon Linux 2013.03以降 | [Thread: openssl heartbleed] ALAS-2014-320: openssl Security Update - Information Disclosure Vulnerability] 2013.09: openssl-1.0.1e-4.58.amzn1 で対応 2014.03: openssl-1.0.1e-37.66.amzn1.x86_64 で対応 |
| Amazon ELB | [HeartBleed Bug Concern] [AWS Services Updated to Address OpenSSL Vulnerability / 参考和訳] 全てのRegionで対応済み、ただし証明書の更新を推奨 (リスクの度合いは不明) |
| Amazon CloudFront | [AWS Services Updated to Address OpenSSL Vulnerability / 参考和訳] 対応済み、ただし証明書の更新を推奨 (リスクの度合いは不明) |
| Homebrew | [openssl 1.0.1g] brew update brew upgrade openssl brew link openssl --force (コメ欄にて詳しい手順有り) |
| Gentoo Linux | [GLSA 201404-07 / openssl] dev-libs/openssl-1.0.1g で修正 |
| BIG-IP | [SOL15159: OpenSSL vulnerability CVE-2014-0160] 11.5.0以降が影響を受ける模様 「Use only Native SSL stack ciphers」に設定していれば回避可能 |
| Google Compute Engine | [Security Bulletins] 各ディストリの v20140408 以降のイメージで作り直すか、yum/aptでパッケージ更新 |
| Android 4.1.1 | [Google Services Updated to Address OpenSSL CVE-2014-0160 (the Heartbleed bug)] Android 4.1.1のみ影響 ChromeはOpenSSLを使わない(NSS)のため影響外 |
自前で入れたり、バージョンアップがすぐにできない場合は、「-DOPENSSL_NO_HEARTBEATS」を設定し、OpenSSLをコンパイルしてもよい。
| ソフトウェア | 対応 |
|---|---|
| Cygwin | [Updated: openssl-1.0.1g-1] openssl-1.0.1g-1 で対応 |
| 影響無し 当初「SSH部分に影響無し、TTProxyでSSL利用時のみ影響を受ける可能性」と書いていましたが、今のところSSL通信をしないとのこと[出典] |
|
| Apache mod_spdy | 独自OpenSSLを内部で持つのでv0.9.4.2に上げる(出典) |
| Phusion Passenger | [Phusion Passenger 4.0.41 released, OpenSSL Heartbleed security update] OpenSSLを静的リンクしており4.0.41未満で影響あり |
| Ruby RVM | [rvm/config/db] rvm管理下で別にopensslを入れた場合は対応が必要 |
| Ruby rbenv/ruby-build | [OpenSSL library updated to 1.0.1g #547] ruby-buildプラグインで別にopensslを入れた場合は対応が必要 plugins/ruby-build下でgit pullしてrbenv installしなおす |
| OpenVPN | [OpenVPN 2.3.2 Windows build I004 リリース] [OpenSSLの脆弱性 – Heartbleed について] Windows版バイナリにOpenSSLが含まれるため、OpenVPN側のバージョンアップも必要。 Android版クライアントもAndroid 4.1(.0)と4.1.1は影響を受けるのでAndroid対応待ち 修正(2014/04/10 18:24) TLS-Authの記述が逆になっていました。TLSハンドシェークの前にHMACによるチェックを挟む機能で、有効にしていれば影響を受けません。こちらの記事に詳しく書かれています。 |
| FFFTP | [臨時版 1.98g1 - FFFTP] FTPS(FTP over TLS/SSL)のみ影響、1.98g1 で対応 |
| WinSCP | [OpenSSL vulnerability CVE-2014-0160] 5.5.3で対応予定 通常のSCP/SFTPには無関係、FTP over TLS/SSLを使っている場合のみ影響 |
OpenSSLに脆弱性があり、SSLで通信している相手のメモリを閲覧できます*1。
具体的には、以下のようなシナリオが考えられます。
脆弱性のあるバージョンを使っていた場合、最悪でSSL証明書の秘密鍵が奪取されている可能性があります。この場合、現在使っているSSL証明書を失効(revoke)させ、再発行する必要があります。
証明書の失効方法については、SSL証明書を発行したCAに問い合わせてください。CA側で管理する証明書失効リストに掲載され、漏洩した秘密鍵によるSSL証明書が使えないようになります。例えばSymantec(旧Verisign)であればストアフロントから失効申請ができるようです。
We were contacted by the OpenSSL team in advance. As a result, Akamai systems were patched prior to public disclosure.カコイイ
警察庁の定点観測システムにおいても、9日以降、当該攻撃コードに実装されているClient Hello パケットと、完全に一致するパケットを多数観測しています。このことから、同攻撃コードを使用して、脆弱性が存在するサーバ等の探索が実施されているものと考えられます。
9. サーバIDの再発行にはどれくらい時間がかかりますか?
シマンテックの営業時間に申請した場合には即日または翌営業日、営業時間外に申請した場合には翌営業日の発行となります。
正常にインストールが出来ましたら、旧証明書の失効化をご依頼下さい。
失効化の方法は方法が決まり次第、別途ご連絡申し上げます。
