[pgpool-general-jp: 1269] OpenSSL脆弱性
Tatsuo Ishii
ishii @ sraoss.co.jp
2014年 4月 9日 (水) 09:30:26 JST
pgpool-IIユーザの皆様
石井です。
OpenSSLの重大な脆弱性が報告されていますが (http://heartbleed.com/) 、
pgpool-IIへの影響についてご説明します。
1) pgpoo.confで、「ssl = off」にしている場合は、この脆弱性の影響はありません。
2) お使いのpgpool-IIが、SSLを有効にしてビルドされていない場合は影響あり
ません。
3) SSLを有効にしてビルドしており、かつssl =on でpgpool-II運用している場
合は脆弱性の影響がある可能性があります。SSLを有効にしてのビルドかどう
かの確認は、lddで可能です。
$ ldd /usr/local/bin/pgpool
:
:
libssl.so.10 => /lib64/libssl.so.10 (0x00007f8ea9d1f000)
:
:
このように、「libssl」という文字列が現れたら、SSLを有効にしてビルドして
いるので、脆弱性の影響がある可能性があります。
次に、OpenSSLのバージョンを確認します。rpmコマンドを使うか、
$ rpm -qa|grep -i openssl
openssl-devel-1.0.0l-1vl6.x86_64
ruby-openssl-1.8.7.374-2vl6.x86_64
openssl098-0.9.8r-1vl6.x86_64
pyOpenSSL-0.7-3vl6.x86_64
compat32-openssl-1.0.0l-1vl6.i686
openssl-1.0.0l-1vl6.x86_64
opensslコマンドでバージョンを確認します。
$ openssl version
OpenSSL 1.0.0l 6 Jan 2014
このバージョンが、1.0.1から1.0.1fの間である場合には、脆弱性の影響があり
ます。ssl = offにするか、OpenSSLのアップデートをして、pgpool-IIを再起動
してください(上記の例では、バージョンが1.0.0lなので、脆弱性はありません)。
この件に関するお問い合せは、このMLでの返信する形にするか、ご契約してい
るサポートベンダの窓口にお願いします。
--
Tatsuo Ishii
SRA OSS, Inc. Japan
English: http://www.sraoss.co.jp/index_en.php
Japanese: http://www.sraoss.co.jp
pgpool-general-jp メーリングリストの案内