ayucat.ch 2015-16

id:ayucatのぶろぐ (Nexus 5 (2015) / iPhone 6s / Galaxy S6 edge / iOS 9 / Ubuntu Trusty / Android 6.0 Marshmallow / Thunderbird / AWS / クラブ / 祭り / 花火 / 海 / 野外フェス)

openssl 1.0.1のHeartbleed問題について修正差分を眺めたり秘密鍵が漏洩するのか調べてみた

openssl 1.0.1のHeartbleed問題の公表から6日。「全世界の17%のウェブサーバに影響がある」という報道にはそんなに少ないのかとびっくりしたけど。Red Hat Enterprise Linux 6 (RHEL6)は6.5でopenssl 1.0.1に上がっているので、それ以前のopensslを採用しているRHEL 6.0〜6.4、RHEL 5.xへのへの影響はないからということかもしれない。それだけ世の中のウェブサーバのセキュリティアップデートはないがしろにされていると思う。

とは言いつつも、既に上記問題への対応は完了したので、腰を落ち着けて、Heartbleed対策のパッチを眺めてみた。 これを発見した人はよく気づいたなぁ、と思う。よく見ると同じようなコードが二ヶ所にまたがってんね、ってことだけ感じたところで時間切れ。

で、影響のあるopensslで使われていた秘密鍵が漏洩するかのコンテスト?(challenge)が4/11にCDNのCloudFlareから出ていた http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge 。当日中にFedor Indutny https://twitter.com/indutny によって秘密鍵が取得されたことが確認されたので、やはり、秘密鍵の再発行とこれまで使っていた秘密鍵の無効化とが必要であることが分かったね、という話でした。

対応への動きが遅い企業もあったりしそうだけど、コスト・難易度は十分に低いので、ちゃんと対応するべきかと思いますね。。。

パッチは以下の通り。

diff --git a/ssl/d1_both.c b/ssl/d1_both.c
index 7a5596a..2e8cf68 100644
--- a/ssl/d1_both.c
+++ b/ssl/d1_both.c
@@ -1459,26 +1459,36 @@ dtls1_process_heartbeat(SSL *s)
    unsigned int payload;
    unsigned int padding = 16; /* Use minimum padding */
 
-  /* Read type and payload length first */
-  hbtype = *p++;
-  n2s(p, payload);
-  pl = p;
-
    if (s->msg_callback)
        s->msg_callback(0, s->version, TLS1_RT_HEARTBEAT,
            &s->s3->rrec.data[0], s->s3->rrec.length,
            s, s->msg_callback_arg);
 
+   /* Read type and payload length first */
+   if (1 + 2 + 16 > s->s3->rrec.length)
+       return 0; /* silently discard */
+   hbtype = *p++;
+   n2s(p, payload);
+   if (1 + 2 + payload + 16 > s->s3->rrec.length)
+       return 0; /* silently discard per RFC 6520 sec. 4 */
+   pl = p;
+
    if (hbtype == TLS1_HB_REQUEST)
        {
        unsigned char *buffer, *bp;
+       unsigned int write_length = 1 /* heartbeat type */ +
+                       2 /* heartbeat length */ +
+                       payload + padding;
        int r;
 
+       if (write_length > SSL3_RT_MAX_PLAIN_LENGTH)
+           return 0;
+
        /* Allocate memory for the response, size is 1 byte
         * message type, plus 2 bytes payload length, plus
         * payload, plus padding
         */
-      buffer = OPENSSL_malloc(1 + 2 + payload + padding);
+       buffer = OPENSSL_malloc(write_length);
        bp = buffer;
 
        /* Enter response type, length and copy payload */
@@ -1489,11 +1499,11 @@ dtls1_process_heartbeat(SSL *s)
        /* Random padding */
        RAND_pseudo_bytes(bp, padding);
 
-      r = dtls1_write_bytes(s, TLS1_RT_HEARTBEAT, buffer, 3 + payload + padding);
+       r = dtls1_write_bytes(s, TLS1_RT_HEARTBEAT, buffer, write_length);
 
        if (r >= 0 && s->msg_callback)
            s->msg_callback(1, s->version, TLS1_RT_HEARTBEAT,
-              buffer, 3 + payload + padding,
+               buffer, write_length,
                s, s->msg_callback_arg);
 
        OPENSSL_free(buffer);
diff --git a/ssl/t1_lib.c b/ssl/t1_lib.c
index b82fada..bddffd9 100644
--- a/ssl/t1_lib.c
+++ b/ssl/t1_lib.c
@@ -2588,16 +2588,20 @@ tls1_process_heartbeat(SSL *s)
    unsigned int payload;
    unsigned int padding = 16; /* Use minimum padding */
 
-  /* Read type and payload length first */
-  hbtype = *p++;
-  n2s(p, payload);
-  pl = p;
-
    if (s->msg_callback)
        s->msg_callback(0, s->version, TLS1_RT_HEARTBEAT,
            &s->s3->rrec.data[0], s->s3->rrec.length,
            s, s->msg_callback_arg);
 
+   /* Read type and payload length first */
+   if (1 + 2 + 16 > s->s3->rrec.length)
+       return 0; /* silently discard */
+   hbtype = *p++;
+   n2s(p, payload);
+   if (1 + 2 + payload + 16 > s->s3->rrec.length)
+       return 0; /* silently discard per RFC 6520 sec. 4 */
+   pl = p;
+
    if (hbtype == TLS1_HB_REQUEST)
        {
        unsigned char *buffer, *bp;

ランチミーティング

  • 汁なし担々麺 900

どこに住みたいかについて。ハワイとドバイが挙がっていた。

Google Adsのopt-outの仕方

Googleのインタレスト連動広告のオプトアウト(opt-out)は以下のURLから行なうことができます。

https://www.google.com/settings/ads

fluentdのRPMのrequireが古い

sudo yum install td-agentしようとすると、

Resolving Dependencies
--> Running transaction check
---> Package td-agent.x86_64 0:1.1.11-0 will be installed
--> Processing Dependency: td-libyaml for package: td-agent-1.1.11-0.x86_64
--> Processing Dependency: libxslt for package: td-agent-1.1.11-0.x86_64
--> Processing Dependency: libssl.so.6()(64bit) for package: td-agent-1.1.11-0.x86_64
--> Processing Dependency: libcrypto.so.6()(64bit) for package: td-agent-1.1.11-0.x86_64
--> Processing Dependency: libyaml-1024.so.4()(64bit) for package: td-agent-1.1.11-0.x86_64
--> Processing Dependency: libtermcap.so.2()(64bit) for package: td-agent-1.1.11-0.x86_64
--> Processing Dependency: libreadline.so.5()(64bit) for package: td-agent-1.1.11-0.x86_64
--> Processing Dependency: libxslt.so.1()(64bit) for package: td-agent-1.1.11-0.x86_64
--> Processing Dependency: libexslt.so.0()(64bit) for package: td-agent-1.1.11-0.x86_64
--> Running transaction check
---> Package compat-libtermcap.x86_64 0:2.0.8-49.2.amzn1 will be installed
---> Package compat-readline5.x86_64 0:5.2-17.3.amzn1 will be installed
---> Package libxslt.x86_64 0:1.1.26-2.7.amzn1 will be installed
---> Package openssl098e.x86_64 0:0.9.8e-17.8.amzn1 will be installed
---> Package td-libyaml.x86_64 0:0.1.4-1 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================================================================================================
 Package                                   Arch                           Version                                    Repository                            Size
================================================================================================================================================================
Installing:
 td-agent                                  x86_64                         1.1.11-0                                   treasuredata                          18 M
Installing for dependencies:
 compat-libtermcap                         x86_64                         2.0.8-49.2.amzn1                           amzn-main                             16 k
 compat-readline5                          x86_64                         5.2-17.3.amzn1                             amzn-main                            156 k
 libxslt                                   x86_64                         1.1.26-2.7.amzn1                           amzn-main                            555 k
 openssl098e                               x86_64                         0.9.8e-17.8.amzn1                          amzn-main                            894 k
 td-libyaml                                x86_64                         0.1.4-1                                    treasuredata                         125 k

Transaction Summary
================================================================================================================================================================
Install       6 Package(s)

てな感じで古いパッケージ(compat-libtermcap, compat-readline5, openssl098eあたり)を入れなきゃいけない問題はみなさんどうやって解決しているのかな?