言及 (2014-04-09)

概要: 緊急脆弱性案件です

もう広く知られてるとは思いますが、リンク先でもまとめられているように、

に、

重大なセキュリティ関連のバグ

が、存在していました。

で、僕の管理する鯖もこの脆弱性を踏んづけておりまして、今日、通院から帰ってきてすぐに対応していたんですが、一つ一個気をつけてほしいと思うのは、上記バグは、

Docker 上の Linux Container

kvm や VMware 等の、Virtual Machine 上の Linux

等でも踏んづけている可能性があるので、その辺りについて、 重点的にチェック する方が良い、というより、 その辺りまでチェックするべきです 。

それで、僕も実際、上記 openssl のバグを踏んづけていたのが、 Docker 上のコンテナ でしたし、またさらに、

Dockerfile の書き方によっては、セキュリティアップデートが適用されない！

という事態にも遭遇したので、その辺り要注意です。

で、具体的には、Ubuntu ベースの Dockerfile でよく

code:_ RUN echo "deb http://archive.ubuntu.com/ubuntu precise main universe"

というような行が書かれているヤツがありますが、ぶっちゃけコレ以外のリポジトリ、特に、 セキュリティアップデート用のリポジトリが含まれていない場合 、 openssl の Heartbleed バグは修正されません！

そのため、 Dockerfile でコンテナが使用するリポジトリを限定している場合には、 セキュリティアップデート用のリポジトリが含まれているかどうか 、 必ずチェックするべきです 。

実際、僕が、

という Github Organization で公開している、

• boxelly/docker-znc
• boxelly/docker-lingr-ircd

という二つのリポジトリに含まれる Dockerfile では、先ほど述べたように、

セキュリティアップデート用リポジトリが含まれていなかった

ため、最初 OpenSSL の Heartbleed bug を踏んづける羽目に成っていました。

で、上記リポジトリの Dockerfile は既に修正した版を upload してありますが、もし過去の version の Dockerfile を使用して Linux Container を作っていた場合、 直ちに Dockerfile を update して、セキュリティアップデートを含んだ Linux Container を作成してください 。

特に docker-znc に関しては、デフォルトで SSL を利用するように Dockerfile を書いていたので、 今回のセキュリティアップデートは非常に重要です 。

また、自分で Dockerfile を書いていたり、もしくは、他の方の Dockerfile を参考にしつつ自分用の Dockerfile を作っていたりする場合には、

自分で作成した Dockerfile に、セキュリティアップデート用リポジトリが含まれているかどうか

を、重点的にチェックするべきです。

特に、僕みたいに 個人鯖で Container base deployment をやってる方 は、僕が今回遭遇したような、

Linux Container にセキュリティアップデート用リポジトリが含まれていない

という事態になっていないかどうか、 きちんとチェックすべきです 。

と言うコトで本日の 緊急脆弱性案件 についての記事は以上です。

えーっと、今回、普段ではあまり使わないようにしている、強い表現 ( 〜するべき )と書いていますが、これは、今回のバグがかなり厄介と言うか、 気がつかない所で踏んづけている可能性がある 　ため、今回はあえてそういう強い表現を使いました。

また、実際僕の場合もそうでしたが、

• VM 上の Linux instance
• もしくは Docker 上等の Linux Container

で、今回の、

を踏んづけている可能性が、結構気づかない所であったりする場合もあり得るので、その辺りも注意しないとかなりマズいっぽです。

そのため、個人開発者であり、かつ個人で VPS なりの鯖管理をされている方は、ホスト OS はもちろんのコト、 VM や Container 等のゲスト OS で 上記のバグを踏んづけていないかチェックするコトをお願いしたいと思います。

いや本当に、個人開発者の皆様方におかれましては、今回のバグは特に気をつけた方が良いかと思います。最初、僕もコトの重大性とか緊急性を完全には理解しきってませんでしたから。っていうか修正とかしたの今日の夕方だったしね。病院行ってたし。

というコトで、本日は以上で終わりたいと思います。

敬具

個人開発者コト岡村 直樹(26)

#FIXME