言及 (2014-04-09)

読了まで:約3分


概要: 緊急脆弱性案件です


もう広く知られてるとは思いますが、リンク先でもまとめられているように、

に、

重大なセキュリティ関連のバグ

が、存在していました。

で、僕の管理する鯖もこの脆弱性を踏んづけておりまして、今日、通院から帰ってきてすぐに対応していたんですが、一つ一個気をつけてほしいと思うのは、上記バグは、

Docker 上の Linux Container

kvm や VMware 等の、Virtual Machine 上の Linux

等でも踏んづけている可能性があるので、その辺りについて、 重点的にチェック する方が良い、というより、 その辺りまでチェックするべきです

それで、僕も実際、上記 openssl のバグを踏んづけていたのが、 Docker 上のコンテナ でしたし、またさらに、

Dockerfile書き方によっては、セキュリティアップデートが適用されない!

いう事態にも遭遇したので、その辺り要注意です。

で、具体的には、Ubuntu ベースの Dockerfileよく

code:_ RUN echo "deb http://archive.ubuntu.com/ubuntu precise main universe"

いうような行が書かれているヤツがありますが、ぶっちゃけコレ以外のリポジトリ、特に、 セキュリティアップデート用のリポジトリが含まれていない場合 openssl の Heartbleed バグは修正されません!

そのため、 Dockerfileコンテナが使用するリポジトリを限定している場合には、 セキュリティアップデート用のリポジトリが含まれているかどうか 必ずチェックするべきです

実際、僕が、

いう Github Organization で公開している、

いう二つのリポジトリに含まれる Dockerfile では、先ほど述べたように、

セキュリティアップデート用リポジトリが含まれていなかった

ため、最初 OpenSSL の Heartbleed bug を踏んづける羽目に成っていました。

で、上記リポジトリの Dockerfile既に修正した版を upload してありますが、もし過去の version の Dockerfile使用して Linux Container を作っていた場合、 直ちに Dockerfile update して、セキュリティアップデートを含んだ Linux Container を作成してください

特に docker-znc関しては、デフォルトで SSL を利用するように Dockerfile書いていたので、 今回のセキュリティアップデートは非常に重要です

また、自分で Dockerfile書いていたり、もしくは、他の方の Dockerfile参考にしつつ自分用の Dockerfile作っていたりする場合には、

自分で作成した Dockerfile に、セキュリティアップデート用リポジトリが含まれているかどうか

を、重点的にチェックするべきです。

特に、僕みたいに 個人鯖で Container base deployment をやってる は、僕が今回遭遇したような、

Linux Container にセキュリティアップデート用リポジトリが含まれていない

いう事態になっていないかどうか、 きちんとチェックすべきです


言うコトで本日の 緊急脆弱性案件ついての記事は以上です。

えーっと、今回、普段ではあまり使わないようにしている、強い表現 ( 〜するべき )と書いていますが、これは、今回のバグがかなり厄介と言うか、 気がつかない所で踏んづけている可能性がある  ため、今回はあえてそういう強い表現を使いました。

また、実際僕の場合もそうでしたが、

  • VM 上の Linux instance
  • もしくは Docker 上等の Linux Container

で、今回の、

踏んづけている可能性が、結構気づかない所であったりする場合もあり得るので、その辺りも注意しないとかなりマズいっぽです。

そのため、個人開発者であり、かつ個人で VPS なりの鯖管理をされている方は、ホスト OS はもちろんのコト、 VM や Container 等のゲスト OS で 上記のバグを踏んづけていないかチェックするコトをお願いしたいと思います。

いや本当に、個人開発者の皆様方におかれましては、今回のバグは特に気をつけた方が良いかと思います。最初、僕もコトの重大性とか緊急性を完全には理解しきってませんでしたから。っていうか修正とかしたの今日の夕方だったしね。病院行ってたし。

いうコトで、本日は以上で終わりたいと思います。

敬具

個人開発者コト岡村 直樹(26)

#FIXME

アバターアイコン兼ロゴ

にゃるら(カラクリスタ)

『輝かしい青春』なんて失かった人。次に備えて待機中。

今は趣味でプログラミングをして生活しています。