VPS&WordPress引っ越しメモ
連載第74回
2014年6月28日
脆弱な OpenSSL のアップデートにすんごい手間取る

 前回、ようやく検索フォームを配置できたところまで来ました。後もう少しで公開準備が整いそうな感じなのですが、しかしここ最近のWordPressシリーズは、MacBook AirのローカルにインストールしたMAMP内で作業・動作確認しているに過ぎません。実際にはServersMan@VPSにアップロードして、リモートでの動作確認も控えています。果たして間に合うのでしょうか…。
 そんな時、レンタルしているServersMan@VPSからユーザーにメールがやって来ました。件名はズバリ「【重要】OpenSSL 脆弱性への対応のお願い」。つまり「もう当然知ってるだろうけど、ユーザーのみなさん各自責任を持って最新版にアップデートしておいてね」ということ。本件は4月にニュースになったのですが、つい先日にもまた新たな欠陥が発見されたようです。

外部サイト参考記事
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性(TECHCRUNCH JAPAN)
The Heartbleed Bug
OpenSSLにまた重大な脆弱性、直ちにパッチ適用を(ITmedia)

バージョンチェック出来ない

 実は4月下旬に最初の注意喚起メールを受信したのですが、その時は以前からターミナルでログインした時に表示される「0.9.8」というのが自分がレンタルしているサーバーのOpenSSLバージョンと思い、それはアップデート対象外だから放置していたのだけれど、先日の2度目のメールで「以前のバージョンも対象」ということになったのです。そこで改めて関連記事を読んで見ると、これを突いたアクセスが怖いのは、全くログが残らないという点。これは引っ越し前に対応しておこうと思ったのでした。早速バージョンの確認方法や、最新版へのアップデート方法などをググり、Coda 2のターミナルからコマンドをアレコレ入力してみたんだけれど、こちらの手順が悪かったのか、向こう側のエラーなのかどうか、いつまで経ってもエラーが返ってきて全く操作完了できずバージョン確認すら出来ませんでした。基本が出来てない人間はこんな些細なところで躓くのですな。

アップデートを試みてみるも…。

# openssl version
# yum info openssl

1行目:これはダメでした。
3行目:こちらもダメだった…。

外部サイト参考記事
CVE-2014-0160 OpenSSL Heartbleed 脆弱性 について(AMIMOTO.AMI)

webminでアップデートしてみる

 そこでwebminを使ってOpenSSLのバージョン確認など出来無いかと思ったのです。久し振りにアクセスしてトップ画面の下部を見ると(←)、165個のパッケージがアップデート待ちになっているらしい。
 で、緑枠線で囲った部分をクリックしてみたのですが、これがまた全然先に進まない。webminをインストールしたばかりの頃はここをクリックしてリストが一覧表示された事があったから、何らかの原因で今はちょっとサーバーの動作が遅くなっているのかも知れない…とか思い、しばらく家事などしつつ放置していたら、リストがどかっと出てきました。

 画面上部にあるフォームに「openssl」で絞り込みし(↓)、チェックを入れて、まずは「Update Selected Packages」を押してみました。が、しかし、なにかプロセスは進んでいるような感じなのですが、全然更新されないのでやはりサーバーの動作がダメなのかもと思い、ウィンドウ自体をリロードして今度は「Refresh Available Pakages」を押してみたのだけれど、残念ながら同様。もういい加減疲れて眠くなってきたので、MacBook Airをシステム終了して寝てしまいました。

全更新されてた…

 翌朝。早朝ならネットも混んでないかもと思い、Airたんを起動してwebminにログインしてみると、何やら変化しているのに気付きました。トップ画面下部の箇所、昨晩まで165個云々とあったのが「All installed Packages are up to date」になってる。もしや!と思い、そこをクリックしてみると…。

清々しいくらいに全パッケージ更新されてた。

 これは想定外の事が起きました。「Refresh Available Pakages」って単にリストの再構築を行うものだと思っていたのですが…だってリフレッシュってアップデートする事だと思わないでしょ?

 サーバーの運用については、安定動作しているのならなるべく導入時のまま、あまり積極的にパッケージのアップデート等はしないようにと考えていました。相性問題とかで不具合が起きてしまうと、自力で速やかな対処・復旧は難しいので「触らぬ神に祟り無し」の基本スタンスで行こうと思っていたのです。それがどうですこの爽快な結末。本来の目的だったOpenSSLのみならず、MySQLからPHP、何から何まで全て最新版にアップデートされてしまいました。なんだそれは。

 しかも、いろいろ記事を読んで見ると、OpenSSLの対応済み最新版は1.0.1g以降らしいのですが、僕のところだと1.0.0-25.el6とかで終わっています。果たして、これでいいのかどうかよく分からない。
 以前のメールには「対象となるバージョン:サーバ側:OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前」とあったから、僕のところは1.0.0系ということで端から対象外なのかもしれない(ポジティブシンキング)。

 とりあえず、webminとターミナルでログイン出来るし、Coda 2からMySQLのデータベースにもアクセス出来ているようなのですが、お気楽ブログだけの利用で複雑な事はしない予定ではあるものの、引っ越しを目前にちょっと心配です。つづく。

外部サイト参考記事
スピーバー操作マニュアル:よくあるご質問(FAQ)「OpenSSLのアップデート手順」(←こちらで紹介されているコマンドだと、すんなりバージョン確認できました)

2014-06-28 > VPS&WordPress引っ越しメモ