技術メモ

OpesSSLを1.0.1系から1.0.2系にバージョンアップしようとした話

OpenSSLに脆弱性が発見され、1.0.1系から1.0.2系にあげようとしたけどコレがなかなかうまくいかなかった(´Д` )

かなり時間がかかってしまったのでそのつめあとを残します。

0.環境を簡単に

CentOS7.2のLAMP環境です。

1.試みる→つまづく

OpenSSLのバージョンアップなんて一般的な話だろうとナメてかかりましたψ(`∇´)ψ

・yumで

・ソースから

ゴロゴロ情報はありましたが、

yum → 1.0.1が最新でっせ

ソースから → OSから見ると上がってるけどapacheから見ると変わっていない!

どうもapacheが使うOpenSSLを更新するにはPHPの再コンパイルが必要なよう。

そんなめんどくさくてリスキーなことしたくねー。。。

2.結局どうした

いろいろ調べて見ると、mod_sslリポジトリをアップデートするとよさげ!

敵を倒すにはまずは自分のことを知ることから。

yum list installed | grep mod_ssl
mod_ssl.x86_64                      1:2.4.6-45.el7.centos.4         @updates

新しいのがあるかチェック!

yum check-update mod_ssl

すると、

mod_ssl.x86_64                  1:2.4.6-67.el7.centos.2                  updates

なんだかイケそうな気がするーーー

するする!

yum update mod_ssl

結果(抜粋)

Dependencies Resolved

================================================================================

Package            Arch        Version                      Repository    Size

================================================================================

Updating:

mod_ssl            x86_64      1:2.4.6-67.el7.centos.2      updates      109 k

Updating for dependencies:

httpd              x86_64      2.4.6-67.el7.centos.2        updates      2.7 M

httpd-tools        x86_64      2.4.6-67.el7.centos.2        updates       88 k

openssl            x86_64      1:1.0.2k-8.el7               base         492 k

openssl-devel      x86_64      1:1.0.2k-8.el7               base         1.5 M

openssl-libs       x86_64      1:1.0.2k-8.el7               base         1.2 M




Transaction Summary

================================================================================

Upgrade  1 Package (+5 Dependent packages)

ドキドキしながらapacheを再起動して

systemctl restart httpd

確認します。キタか!?

フォーーーーーーーーーーーーー

3.さいごに

上のyum updateの証跡でもわかるように、apacheも依存しているので一緒にアップデートされます。

やるときはバックアップをとって慎重にやっちゃってください。

木村さんありがとうございました。