読者です 読者をやめる 読者になる 読者になる

カラクリサイクル

『輝かしい青春』なんて無かった人の雑記

言及

Development Tips Diary

概要: 緊急脆弱性案件です


もう広く知られてるとは思いますが、リンク先でもまとめられているように、

に、

  • 重大なセキュリティ関連のバグ

が、存在していました。

で、僕の管理する鯖もこの脆弱性を踏んづけておりまして、今日、通院から帰ってきてすぐに対応していたんですが、一つ一個気をつけてほしいと思うのは、上記バグは、

  • Docker上のLinux Container
  • kvmやVMware等の、Virtual Machine上のLinux

等でも踏んづけている可能性があるので、その辺りについて、 重点的にチェック する方が良い、というより、 その辺りまでチェックするべきです

それで、僕も実際、上記opensslのバグを踏んづけていたのが、 Docker上のコンテナ でしたし、またさらに、

  • Dockerfile の書き方によっては、セキュリティアップデートが適用されない!

という事態にも遭遇したので、その辺り要注意です。

で、具体的には、Ubuntuベースの Dockerfile でよく

RUN echo "deb http://archive.ubuntu.com/ubuntu precise main universe"

というような行が書かれているヤツがありますが、ぶっちゃけコレ以外のリポジトリ、特に、 セキュリティアップデート用のリポジトリが含まれていない場合opensslのHeartbleedバグは修正されません!

そのため、 Dockerfile でコンテナが使用するリポジトリを限定している場合には、 セキュリティアップデート用のリポジトリが含まれているかどうか必ずチェックするべきです

実際、僕が、

という Github Organizationで公開している、

という二つのリポジトリに含まれる Dockerfile では、先ほど述べたように、

  • セキュリティアップデート用リポジトリが含まれていなかった

ため、最初 OpenSSL の Heartbleed bugを踏んづける羽目に成っていました。

で、上記リポジトリの Dockerfile は既に修正した版をuploadしてありますが、もし過去の versionの Dockerfile を使用して Linux Containerを作っていた場合、 直ちに Dockerfile をupdateして、セキュリティアップデートを含んだLinux Containerを作成してください

特に docker-znc に関しては、デフォルトで SSLを利用するように Dockerfile を書いていたので、 今回のセキュリティアップデートは非常に重要です

また、自分で Dockerfile を書いていたり、もしくは、他の方の Dockerfile を参考にしつつ自分用の Dockerfile を作っていたりする場合には、

  • 自分で作成した Dockerfile に、セキュリティアップデート用リポジトリが含まれているかどうか

を、重点的にチェックするべきです。

特に、僕みたいに 個人鯖でContainer base deploymentをやってる方 は、僕が今回遭遇したような、

  • Linux Containerにセキュリティアップデート用リポジトリが含まれていない

という事態になっていないかどうか、きちんとチェックすべきです


と言うコトで本日の 緊急脆弱性案件 についての記事は以上です。

えーっと、今回、普段ではあまり使わないようにしている、強い表現 (〜するべき)と書いていますが、これは、今回のバグがかなり厄介と言うか、 気がつかない所で踏んづけている可能性がある ため、今回はあえてそういう強い表現を使いました。

また、実際僕の場合もそうでしたが、

  • VM上のLinux instance
  • もしくはDocker上等のLinux Container

で、今回の、

を踏んづけている可能性が、結構気づかない所であったりする場合もあり得るので、その辺りも注意しないとかなりマズいっぽです。

そのため、個人開発者であり、かつ個人でVPSなりの鯖管理をされている方は、ホストOSはもちろんのコト、 VMやContainer等のゲストOSで 上記のバグを踏んづけていないかチェックするコトをお願いしたいと思います。

いや本当に、個人開発者の皆様方におかれましては、今回のバグは特に気をつけた方が良いかと思います。最初、僕もコトの重大性とか緊急性を完全には理解しきってませんでしたから。っていうか修正とかしたの今日の夕方だったしね。病院行ってたし。

というコトで、本日は以上で終わりたいと思います。

敬具

個人開発者コト岡村 直樹(26)