[pgpool-general-jp: 1269] OpenSSL脆弱性

[Tatsuo Ishii]

pgpool-IIユーザの皆様

石井です。

OpenSSLの重大な脆弱性が報告されていますが (http://heartbleed.com/) 、
pgpool-IIへの影響についてご説明します。

1) pgpoo.confで、「ssl = off」にしている場合は、この脆弱性の影響はありません。

2) お使いのpgpool-IIが、SSLを有効にしてビルドされていない場合は影響あり
   ません。

3) SSLを有効にしてビルドしており、かつssl =on でpgpool-II運用している場
   合は脆弱性の影響がある可能性があります。SSLを有効にしてのビルドかどう
   かの確認は、lddで可能です。

$ ldd /usr/local/bin/pgpool
:
:
libssl.so.10 => /lib64/libssl.so.10 (0x00007f8ea9d1f000)
:
:
このように、「libssl」という文字列が現れたら、SSLを有効にしてビルドして
いるので、脆弱性の影響がある可能性があります。

次に、OpenSSLのバージョンを確認します。rpmコマンドを使うか、
$ rpm -qa|grep -i openssl
openssl-devel-1.0.0l-1vl6.x86_64
ruby-openssl-1.8.7.374-2vl6.x86_64
openssl098-0.9.8r-1vl6.x86_64
pyOpenSSL-0.7-3vl6.x86_64
compat32-openssl-1.0.0l-1vl6.i686
openssl-1.0.0l-1vl6.x86_64

opensslコマンドでバージョンを確認します。

$ openssl version
OpenSSL 1.0.0l 6 Jan 2014

このバージョンが、1.0.1から1.0.1fの間である場合には、脆弱性の影響があり
ます。ssl = offにするか、OpenSSLのアップデートをして、pgpool-IIを再起動
してください(上記の例では、バージョンが1.0.0lなので、脆弱性はありません)。

この件に関するお問い合せは、このMLでの返信する形にするか、ご契約してい
るサポートベンダの窓口にお願いします。
--
Tatsuo Ishii
SRA OSS, Inc. Japan
English: http://www.sraoss.co.jp/index_en.php
Japanese: http://www.sraoss.co.jp