Debianメーリングリストからの情報で、opensslに複数の欠陥が発見された!との情報が入った。
opensslを使用している場合はアップグレードしたほうがいいと思います。
いつものアップグレードはスルッと終わってしまうけど、今回のは若干の注意事項があるので、メモっておこうと思います。
注意することは、設定ファイルを弄ってることろなので、「現在インストールされている自分のバージョンを残す」にする。
ここ間違ってしまうと、今まで設定したものがなくなってしまうので面倒なことになる。
Debianセキュリティ情報
http://www.debian.org/security/
メーリングリストからの情報を一部抜粋
————————————————–
複数の欠陥が OpenSSL に発見されました。The Common Vulnerabilities
and Exposures project は以下の問題を認識しています。
CVE-2012-0884
Ivan Nestlerode さんにより、CMS と PKCS #7 実装に欠陥が発見さ
れました。この欠陥を Million Message Attack (MMA) により攻撃す
ることで暗号の解読が可能です。
CVE-2012-1165
細工された S/MEME メッセージの処理で NULL ポインタ参照を起こし、
サービス拒否攻撃に繋がるというが発見されました。
CVE-2012-2110
Google Security Team の Tavis Ormandy さんにより、DER 符号化さ
れた ASN.1 データの処理に欠陥があり、ヒープオーバフローに繋が
ることがが発見されました。
更に、この修正では CVE-2011-4619 の更新が SGC ハンドシェイク問題に対応
できるよう修正されています。
:
:
直ぐに openssl パッケージをアップグレードすることを勧めます。
————————————————–
フムフム。。ということで、直ぐにアップグレードします。
apt-get update
apt-get upgrade
パッケージリストを読み込んでいます… 完了
依存関係ツリーを作成しています
状態情報を読み取っています… 完了
以下のパッケージはアップグレードされます:
apache2 apache2-mpm-prefork apache2-utils apache2.2-bin apache2.2-common
libssl0.9.8 openssl
アップグレード: 7 個、新規インストール: 0 個、削除: 0 個、保留: 0 個。
:
:
apache2.2-common (2.2.16-6+squeeze7) を設定しています …
設定ファイル `/etc/apache2/sites-available/default-ssl’
==> これはインストールしてから (あなたかスクリプトによって) 削除されています。
==> パッケージ配布元が更新版を提供しています。
どうしますか? 以下の選択肢があります:
Y か I : パッケージメンテナのバージョンをインストールする
N か O : 現在インストールされている自分のバージョンを残す
D : 両バージョンの差異を表示する
Z : 状況を調査するためにシェルを開始する
デフォルトでは現在使っている自分のバージョンを残します。
*** default-ssl (Y/I/N/O/D/Z) [デフォルト=N] ? O
設定ファイル `/etc/apache2/sites-available/default’
==> これはインストールしてから (あなたかスクリプトによって) 削除されています。
==> パッケージ配布元が更新版を提供しています。
どうしますか? 以下の選択肢があります:
Y か I : パッケージメンテナのバージョンをインストールする
N か O : 現在インストールされている自分のバージョンを残す
D : 両バージョンの差異を表示する
Z : 状況を調査するためにシェルを開始する
デフォルトでは現在使っている自分のバージョンを残します。
*** default (Y/I/N/O/D/Z) [デフォルト=N] ? O
apache2-mpm-prefork (2.2.16-6+squeeze7) を設定しています …
Starting web server: apache2.
apache2 (2.2.16-6+squeeze7) を設定しています …
openssl (0.9.8o-4squeeze11) を設定しています …
※
設定ファイル `/etc/apache2/sites-available/default’
設定ファイル `/etc/apache2/sites-available/default-ssl’
は弄ってることろなので、「現在インストールされている自分のバージョンを残す」にする。
ここ間違ってしまうと、今まで設定したものがなくなってしまうので面倒なことになる。