読者です 読者をやめる 読者になる 読者になる

OpenSSL脆弱性対応手順まとめ

おはこんばんにちは。

OpenSSLさんがまた脆弱性ですって(´・ε・`)?

JVNVU#92930223: OpenSSL に複数の脆弱性

私の中ではBINDさんの次に多い印象があります。

BINDの脆弱性対応手順をまとめたのにならって、今回はOpenSSLバージョンをまとめてみますね。

infragirl.hatenablog.jp

 1.OpenSSLの脆弱性の発表をキャッチする

本家が情報をわかりやすく出してくれてるようです。

脆弱性がアナウンスされた時https://twitter.com/ha4gu/status/750102197174607872の一次ソース「Security Advisory」はここですね。

ここのRSSが見つけられない…。

https://www.openssl.org/news/newslog.html

過去の脆弱性情報がまとまってるページもあるんですね。

/news/vulnerabilities.html

 

OpenSSLに限ったことではないですが、CVE,JPCERT/CC,JVNも要チェックですね!

私はNVDとかもたまに見るんですけど、JVNと微妙にCVSSスコアが違ってたりするので基本はJVNを信用してます( ´ω`)

 

あと、OpenSSLのBlogにけっこう書いてたりすることがあるようで・・・

www.openssl.org

脆弱性情報出た後にOpenSSL本家からアップデートが出なくて、

「これいつでるのかなぁ・・・」ってウジウジしてたら

「ブログに書いてあるよ」と教えていただいたことがあり、その時からBlogも見るようにしてます。

 一次ソースのチェックは大事ですね( +・`ω・)b

 

  2.自分の管轄内のOpenSSLのバージョンを調べる

バージョンを出すだけなら・・・

$ dpkg -l | grep openssl

yum list installed | grep openssl

最近知ったんですがCent OSだとアップデート可能なら黄色くなってくれるそうですね。便利(゚д゚)!

 

パッケージを使っていなくてもopensslコマンドで

バージョンを確認することができます。

$openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

 

でも・・・

それ本当に今使っているOpenSSLのバージョンなんでしょうか?

もしかしたら後からソースインストールしてるのかも!!!

ギャアァァァァ━━━━━━(|||゚Д゚)━━━━━━!!!!!!

 

lsofコマンド(どのプロセスがどのファイルを開いているのか

わかるコマンド)でopensslのライブラリを開いているプロセスを見つけましょう。

# lsof | grep ssl

・・・

fail2ban-  2565                root  mem       REG              253,4    449880    4680996/usr/lib64/libssl.so.1.0.1e

 

これで新しいほうを参照してたらOKです。

古いほうを参照してたらアップデートしてあげましょう。4へ続く。

 

ちなみに現在のstableバージョンは1.0.2系で、1.0.1系はセキュリティ上のバグ修正しかしていないんですって。

そんで、1.0.1系のサポートは2016/12/31までですって。

( ゚д゚)ナンデスト!

ソース:https://www.openssl.org/source/

   3.アップデートするかどうかを決める

BINDのときとほとんど同じことを言いますが・・・

これは、環境によって異なるのでなんとも言えない(´・ω・`)ショボーン

あとは以下の観点から判断しています。

・対象のサーバが外に出ているかどうか

→FWで守られているかどうか。外に出ているものであれば、一刻も早く対処しないといけないです。リモートで攻撃可能な脆弱性だといつ攻撃を受けるかわかりませんし。

脆弱性によって受ける影響が大きいかどうか

→これも環境によりけりですね。でも、SSLって大事な情報を守るために使われているものですし、本来守られているべきのものが情報漏えいの脆弱性あり!といわれたら

私なら最優先でアップデートかけちゃうと思います。サービス停止の脆弱性とかだとどうかな。でも、SSL使うようなサービスって大事なやり取りばかりですよね・・・。

 基本的には脆弱性にはすべて対応すべきだと思っています。ただし、実際に対応するかどうかは実際の環境や、対応にかかる工数とリスクを天秤にかけて、上司や客先と相談して判断しています。

  4 .OpenSSLをアップデートする

パッケージならアップデートしてあげればOKですね。

アップデート後は、OpenSSLのライブラリを参照しているプロセスが

本当に新しいライブラリを参照しているかlsofコマンドで確認してあげてください。

必要に応じてプロセスのサービスも再起動しましょう。

 

Σ(゚д゚) エッ!? OSがサポート切れ?パッケージが提供されない?

<丶´Д`>ゲッソリ しますね。

 

OpenSSLのサイトからソースをインストールしましょう。

そんで、opensslのライブラリを参照しているプロセスが、新しいバージョンのライブラリを参照するようにがんばりましょう。

(サービス再起動でそううまいこといってくれなくて、筆者はソースapacheのconfigureからやり直したことがあります。超めんどくさかった)

ソースからアップデートの方法については、参照するプロセスによって

大きく違いそうですし、筆者はapacheしかやったことないので割愛します。

 

ながくなりましたが私はこんな感じでOpenSSL脆弱性対応をしています。

間違いやこうしたらいいよ!という意見などありましたら@infragirl755までリプライいただけると幸いです。

 

2016/11/29 追記

このエントリを見た方が、この件についてより掘り下げたブログ記事を書いてくださいました。

 

OpenSSLに限らず、パッケージ管理についてどう付き合って行くべきかという視点で書かれており、とてもためになる記事でした( •̀ᄇ• ́)ﻭ✧

 

お兄様さん‪(@phase_d ‬)ありがとうございました!

 

さくらのVPSでRedmineを構築してみました

おはこんばんにちは。

突然ですがさくらのVPSRedmineを構築しました。

 

理由は以下のとおりです。

 お金関係のタスクって自分ではしっかり管理してたつもりだったんです。

それを忘れたのがショックで・・・。

会社でRedmine使い始めたので、家でも使いたいなぁと思って・・・。

https://twitter.com/infragirl755/status/799864684727783425

 

さくらのVPSの一番安いプラン契約しました。月額685円なんて安いですねぇ(´∀`*)

 最初からrootログインできるようになっててびびった。

あとループバックオンリーでpostfix動いてたのはCentOS7の親切なのかしら・・・?

systemd?会社でdebian8触ってるしいけるやろ、と何も考えずにCentOS7にしました。

あとからFirewalldで苦しむとも知らずに・・・ふっε- (´ー`*)

 

とりあえずやったこと

iptablesコマンドで必要なポートだけ空ける

(これ意味あったのかな・・?後からFirewalldだと気づいた)

・rootユーザと一般ユーザの作成

sshでrootログインできなくする

sshの鍵認証を設定し、鍵認証を強制する設定を入れる

・fail2banでsshポートの設定する

・logrotateの設定を見る(とりあえず一通り設定されているようだからこのまま)

・bitnamiインストーラを使ってredmineのインストール

→めちゃくちゃ簡単でびびった。

iptablesではなくfirewalldだと気づく

 

redmineでユーザ作成

redmineのサーバ用のAレコードを登録

・redminePMのインストールと動作確認

・backlogsプラグインを入れようとして挫折中

rubyのgemとかnokogiriとかわけわかめで(´・ω・`)ショボーン

 

とりあえずredmineが動くようにはなりました。

会社でbacklogsプラグインで慣れちゃったからこれ使いたいん

だけどな・・・。

家使いでredmineつかってて、こういう運用してるよ!って方が

いたら教えていただきたいです。

(チケットの種類とかサブプロジェクトの粒度とか・・・)

さくらのVPSの最小スペックですが、今のところ問題なさそうです。今後使い込んだらしんどくなってくるのかな。

 

これからどんどん使い込むぞ~。

 

変なメールが届いた話

お疲れ様です。ナツヨです。

最近は引っ越しや二輪教習に登山でスラッシングしそうです。

ほど自業自得なんですが(; ・`д・´)

 

今日は、twitterでもちょいちょい言っているメールの話です。

プライベートのメールでは、natsuyo.netを取得して、さくらのメールサービスを利用しております。

 

先日変なメールが届きました。

 

スクロールすると添付ファイルがくっついていたので、

身に覚えのない+添付=SPAM!!?!? と思いこんでおりました。

 

フォロワーさんから沢山突っ込まれました。

 

 

 

英語はきちんと読まないとだめですね・・・(-"-;A ...

メール文に「host name lookup failure」とありますし、support.xxx.jpが

名前解決できずに滞留しているようですね。

 

メールは3通届いていて、1通目の時間帯を確認すると20:42:25

そういえば、山小屋の予約メールを出した時間帯です。

 

山小屋のサイトを確認すると、気になる一文が…

 

山小屋のメールシステムに何が…(*_*;

ちなみに、予約確認のメールはきちんと返ってきましたよ。謎い。

 メールの件名でぐぐってみると、同じようなメールが届いた人がたくさんいるようでした。IPアドレスwhois引いてみた結果SAKURA Internet Inc.ですし

確かにさくらから届いたメールのようです。

 

となると、気になるのは、山小屋のメールシステム。

ドメインはmopera.netで、ぐぐってみるとドコモのISPのようですね。

山小屋だしモバイルルータを使っているのかもしれませんね。

 

ISPについてくるメールアドレスだとしても、名前解決できないのは意味不明だし、

途中でsupport.xxx.jpっていうものが出てくるのもよくわからないし(-_-;)

 

xxx.jpのドメインの持ち主をwhoisで確認してみると…

Domain Information: [ドメイン情報]
[Domain Name]                   XXX.JP

[登録者名]                      辻村 晃
[Registrant]                    Tsujimura,Akira

[Name Server]                   delta1.xxx.ne.jp
[Name Server]                   ns6-tk02.ocn.ad.jp
[Signing Key]                   

[登録年月日]                    2001/03/26
[有効期限]                      2017/03/31
[状態]                          Active
[最終更新]                      2016/04/01 01:05:13 (JST)

Contact Information: [公開連絡窓口]
[名前]                          フューチャリズムワークス ドメインサービス
[Name]                          Futurismworks Domain Service
[Email]                         jp-domain@futurism.ws
[Web Page]                       
[郵便番号]                      151-0053
[住所]                          東京都渋谷区代々木
                                2-11-2 由井ビル5F
[Postal Address]                2-11-2-5F, Yoyogi,
                                Shibuya-ku,
                                Tokyo 151-0053, Japan
[電話番号]                      03-5302-1699
[FAX番号]                       03-5302-1698

ぐぐってみると、レンタルサーバ屋さんらしいけど…。

 

support.xxx.jpのMXを引いてみるとSERVFAILになる(*_*;

これが原因かな?

使用したサイト:

nslookup(dig)テスト【DNSサーバ接続確認】

f:id:okisan2:20160811215025p:plain

 

xxx.jpのドメイン自体が存在していても、サブドメインのMXレコードが存在しない場合はNXDOMAINになるもんじゃないのか・・・?

例:yahoo.comのでたらめなサブドメインのMXを引いてみた場合

f:id:okisan2:20160811215240p:plain

 

modera.netとxxx.jpがどんな関係がもわからん・・・。

modera.netがsupport.xxx.jpを内部で使っているとか?

山小屋の方に伝える義理もないのですが、なんとなくもやもやするのでした。

山小屋に行ったときにkenzanso.jpのドメイン取得と、どこかのメールサービスの契約をおすすめしてみようかしら・・・。

2016/6/25開催の技術書典に行ってきました

DNS Summer day 2016の翌日は、東京にもう1泊して秋葉原で開催される

技術書典に行ってきました!

※当日の技術書典の様子がコチラにまとめられているようです。

目的はシス管系女子の作者であるpiroさんのサインを、単行本に書いてもらうことです。

 

25日朝、寝坊!…ではなく、朝の5時に起きてしまいました。

もともと早起きしてしまう体質で、お酒を飲むとより早起きになってしまう人間なもので・・・(;・∀・)(前日はDNS Summer Day 2016の懇親会)

 

秋葉原に9時ぐらいについてしまいました。

 

技術書典のオープンは11時ということで、暇なので献血することにしました。

 

 秋葉原ならではの内装で有名な、Akiba:F献血ルームに行ってきました。

今は、神田祭の法被が飾られていました。

漫画読み放題・飲み物飲み放題(むしろ飲んで!と言われるぐらい)で冷房が効いてて最高でした。献血は何回もしていたので慣れっこでしたし、なかなかいい選択をしたと思っていたのですが・・・後々悪い方向に効いてくることになります(;´∀`)

 

11時過ぎになり、技術書典の会場まで歩いてみてびっくり。

建物にたどり着く前に何百メートルも行列になっているではありませんかΣ( ̄□ ̄|||)

 ここまで混んでいるイベントだと思っていなかったので(失礼)食べ物もなし、飲み物もペットボトルだけ、蒸し暑い中日傘もなし。

そしてなぜか献血で体力を削ってきている。

 

あとから知ったのですが、当日はTwitterトレンドになるぐらいの大盛況だったそうですね。

こんなに長い行列に並んだのは●ズニーランドぶりだったので大変焦ったのですが、

行列が進んで、11時半ぐらいには整理券をもらうことができました。

整理券の番号を見ると2125で、技術書典twitterアカウントでも案内してくださるとのこと。12時に入ることができました。

(整理券配布や行列の誘導もスムーズで、twitterでも常にアナウンスがあり大変ありがたかったです!本当に素晴らしいスタッフさんたちだと思いました。お疲れ様でした。)

中に入ってシス管系女子のブースに行ってみたところ、piroさんはちょうど休憩に出られたところだったのですが、わざわざ戻ってきてくださったみたいで・・・本当にありがとうございました!

念願のサインもいただきましたよ( ̄ー ̄)ニヤリ

 

2巻にはみんとちゃん!

 

f:id:okisan2:20160706222319j:image

 

1巻には大野さん!

f:id:okisan2:20160706222322j:image

piroさんはけっこう自画像そのままの方でした!w

 

ほかには、技術系女子の日常とオライリーのグッズその場で買い。

技術系女子の日常は、高専時代にはんだ付けや抵抗の計算をしたのを思い出して、買ってしまいました。

オライリーは公式で提供されている塗り絵ですね!何で塗ろうかなあ?( ^ω^)

メモ帳は4個セットでした。写真で3つしかないのは、1個会社で楽しく使ってるからです。

 

f:id:okisan2:20160706222512j:image

 

※ちなみに、ほかのブースはナツヨさんの脳みそにはディープすぎたようです。(;´∀`)

 

そんなこんなで、割と楽しかったので、来年も開催されることを望みます!

ちゃんちゃん!

 

 

 

DNS summer day 2016に参加しました

○きっかけ

2015年開催のものはとぅぎゃったで読んだことがあり、今年こそ行きたいなと思っていました。現在会社でDNSサーバの面倒を見る立場でもあるので、「情報収集のため」という理由で出張扱いで行かせてもらえることになりました。上長に圧倒的感謝。

 

◯出発〜会場到着

秋葉原UDXは駅のすぐそこですし、迷うことはなかったのですが、コインロッカーが見つからずタイムロス。オープニングぎりぎりに会場入りしました。既にほとんど席が埋まっていましたし、事務局の方も今年は人が多いとおっしゃっていました。今年のテーマ「BINDからの卒業」の関心の高さを感じました。

 

◯午前の部

午前のスケジュールは「BINDからの卒業」をテーマにしたセッションが中心でした。

時々笑い声が上がったり、ちょいちょいツッコミが入ったりして終始和やかなムードでした。

個人的には、NSDとpowerDNSのセッションがそれぞれあったのが良かったです。権威サーバは、NSDやpowerDNSやknot DNSやその他アプライアンスがあって、どれがいいかわからなかったので…。

NSD性能重視、powerDNSが管理機能重視という印象を受けました。

powerDNSのゾーン転送の行儀について聞きたくて、マイクの前に言った時は死ぬほど緊張しました。

 

途中休憩で、日頃からTwitterでお世話になっているオレンジさんにご挨拶しまして、

バッチを貰いました( 'ω')

後から、追加でヤマハルータのステッカーもいただきましたw

f:id:okisan2:20160630223830j:image

〇午後の部

午後は最近のホットトピックのセッションでした。水責めやIP53Bのセッションが印象深かったです。プロバイダの中の人間としては明日は我が身だなと思いました。

 

〇夕方の部

夕方からは懇親会がありました。何人かTwitterのフォロワーさんがいらっしゃったようで、「インフラガールの人ですね」と言われまして、今更ですけど凄い恥ずかしかったです:(;゙゚'ω゚'):

お腹がめちゃくちゃすいてたのでピザは2枚食べました。食べ損ねた人が居たらすみません。ビールとピザの組み合わせは至高。

 

〇夜の部

二次会にも参加させていただきました。懇親会以降の会話はオフレコだと思うので詳しくは記しませんが、普段わたしが経験しているよりも何十倍ものトラフィックやQPSの世界の話を聞かせてもらいました。

帰り際、階段から落ちまして、何人かにご心配をおかけしました。すみません。ちょっとアザができたぐらいなので大丈夫です。(柔道部だったので打ち身は慣れっこです)

 

〇参加してみての感想

当日満席状態で、BINDからの卒業というテーマの関心の高さを感じました。卒業した人、卒業したい気持ちがあり情報収集に来た人、卒業したいけど出来なさそうな人、いろいろな立場の人の話が聞けて面白かったです。

 

〇最後に

BINDから卒業生の方の話を聞く限り、皆さん苦労されたんだろうなと思います。

それでも、やっぱり卒業したいです。

 

それではおやすみなさいませ( ˘ω˘ )

RTX1100をお迎えしました

おひさしぶりだいこんです。

積みゲーならぬ積みToDoが増えてきて焦っているナツヨさんです。

 

先日RTX1100をお迎えしました。

このブログを見ていらっしゃる方は、すでにご存じだと思うので割愛しますが、YAMAHA製のVPNルータです。

 

RTX1100をお迎えした理由

ネットワークの勉強がしたいと思っていたものの、実務では触る機会がないし、何か実際に触ってみたいなーと思っていました。

YAMAHAルータはいいぞ、というTLの声を聴きつつ調べたところ、「RTX1100」という種類がいいらしい→Amazonで売ってるやん?→中古で4000円あれば買えるやん?→4000円なら安い投資や!そいやぽちっとな!

という流れで買いました。

ほろ酔い状態でポチったけど後悔はしていない。

 

用意したもの

LANケーブルさえあればIPv6アドレスに向かってtelnetできたんですが、念のためにコンソールケーブルとシリアルのクロスケーブルも買いました。

参考記事:

qiita.com

 

買ったもの:

iBUFFALO USBシリアルケーブル(USBtypeA to D-sub9ピン) 1m シルバー BSUSRC06SV

https://www.amazon.co.jp/dp/B007SI18WG/ref=cm_sw_r_tw_dp_rKPAxb54D73AF

サンワサプライ RS232Cケーブル(インターリンク 9pin-9pin) 2m KR-LK2

https://www.amazon.co.jp/dp/B00008BBGJ/ref=cm_sw_r_tw_dp_fMPAxbB2J34ZF

 

最初にやってみること

最終的にはVPNルータとして動かしてみたいなと思っているんですが、とりあえず、ブロードバンドルータとしてセットアップしてみたいと思います。

人生初のルータのセットアップで、右も左もわからないので手探りでやっていきます。

とりあえず、以下の設定例集を参考に設定をポチポチ入れてみました。

「そんなことも知らねぇのかよ!」と思われる方が大半だと思いますが、暖かい心で見守っていただけると幸いです。

 

RTX/RTシリーズ 設定例集

http://www.rtpro.yamaha.co.jp/RT/manual/Rev.9.00.01/Configs.pdf

この中だと21.1 端末型接続 が一番近そう。

 

設定解説を見るとPPPoEの設定があるのですが、我が家はCATVなのでPPPoEではありません。

さてどうしたものか・・・(-_-;)

PPPoEの設定も含めて入れてみました。

 

LAN2にCATVモデムからのLANケーブルをつなぎ、LAN1にubuntuをつないでみると

eth0に192.168のIPアドレスが付与されていました。

ただしGWにpingは通りませんし、名前解決もできません。

ルータのDHCPとしては正しく働いているけど、CATV側のDHCPは正しく処理できていないのかな?という感じがしました。

 

もうちょっと調べてやってみます。

ではおやすみなさいませ。

 

ライブラリからOpenSSLのバージョンを確認してみた結果・・・

 

おひさしぶりだいこんです。ナツヨです。

GW中にOpenSSLの脆弱性が発表されていました。

OpenSSL、けっこういろんなサービスが使っていて、「このプロセスが使ってるのは意図したOpenSSLなのかな・・・?」って不安に思ったりすることがあるので、呼び出しているライブラリからOpenSSLのバージョンを確認できるのか、確かめてみました。

 

結果としては、うまくいきませんでした。

 

利用している環境はUbuntu14.04です。

まずdpkgコマンドで、opensslのバージョンを調べてみます。

# dpkg -l | grep openssl
ii  libgnutls-openssl27:i386                              2.12.23-12ubuntu2.5                           i386         GNU TLS library - OpenSSL wrapper
ii  openssl                                               1.0.1f-1ubuntu2.18                                  i386         Secure Sockets Layer toolkit - cryptographic utility
ii  python-openssl                                        0.13-2ubuntu6                                       i386         Python 2 wrapper around the OpenSSL library

 

1.0.1fなので、今回の脆弱性に該当していることがわかります。

opensslコマンドでも調べておきます。

# openssl version
OpenSSL 1.0.1f 6 Jan 2014

 

次に、opensslコマンドで実際に呼び出しているライブラリをしらべます。

lddコマンドは、指定したプログラムの依存関係を調べることができます。

下の例では、opensslコマンドを実行するのにどんなライブラリが必要か調べています。

 

# ldd /usr/bin/openssl
    linux-gate.so.1 =>  (0xb7712000)
    libssl.so.1.0.0 => /lib/i386-linux-gnu/libssl.so.1.0.0 (0xb76a4000)
    libcrypto.so.1.0.0 => /lib/i386-linux-gnu/libcrypto.so.1.0.0 (0xb74f6000)
    libc.so.6 => /lib/i386-linux-gnu/libc.so.6 (0xb7347000)
    libdl.so.2 => /lib/i386-linux-gnu/libdl.so.2 (0xb7342000)
    /lib/ld-linux.so.2 (0xb7713000)

 

その中のlibssl.so.1.0.0の中身を覗いてみます。libssl.so.1.0.0ファイルはバイナリファイルです。バイナリファイルとは人間が解釈できない形式のファイルのことだそうです。stringsコマンドでは、そんなバイナリファイルの中身をのぞくことができます。

 

# strings /lib/i386-linux-gnu/libssl.so.1.0.0 | grep OpenSSL
OpenSSLDie
SSLv3 part of OpenSSL 1.0.1f 6 Jan 2014
TLSv1 part of OpenSSL 1.0.1f 6 Jan 2014
DTLSv1 part of OpenSSL 1.0.1f 6 Jan 2014
OpenSSL 1.0.1f 6 Jan 2014


最後の行で、OpenSSLのバージョンを確認することができました。次に、OpenSSLをアップデートしてみます。

# apt-get update

(省略)

# apt-get install openssl

(省略)

# dpkg -l | grep openssl
ii libgnutls-openssl27:i386 2.12.23-12ubuntu2.5 i386 GNU TLS library - OpenSSL wrapper
ii openssl 1.0.1f-1ubuntu2.19 i386 Secure Sockets Layer toolkit - cryptographic utility
ii python-openssl 0.13-2ubuntu6 i386 Python 2 wrapper around the OpenSSL library

 

CVE-2016-2108 in Ubuntu

Ubuntu 14.04のopensslの修正済みバージョンは2.19としてリリースされていました。

きちんと修正済みバージョンになってくれたようです。ε-(´∀`*)ホッ

 

# openssl version
OpenSSL 1.0.1f 6 Jan 2014

むむっアップデート前と結果が変わらないぞい・・・。

 

# strings /lib/i386-linux-gnu/libssl.so.1.0.0 | grep OpenSSL
OpenSSLDie
SSLv3 part of OpenSSL 1.0.1f 6 Jan 2014
TLSv1 part of OpenSSL 1.0.1f 6 Jan 2014
DTLSv1 part of OpenSSL 1.0.1f 6 Jan 2014
OpenSSL 1.0.1f 6 Jan 2014

日付も特に変わっていないぞい・・・。

う〜ん。

思い通りにいきませんでした(・ัω・ั) 

 

2016/05/17 追記

いろいろリプライをいただいたので、追記いたします。

脆弱性対応=パッチを当てるだけ=バージョンアップではないというお話を聞きました。なのでバイナリの中のバージョンの表記が上がらないと。

 あとは、パッケージ管理システムによってchangelogを見ることができるので、それを確認したほうが良いという話。

 私はdebian系(debian,ubuntu)しか経験がないので、apt-get以外使ったことがありません。パッケージ管理システムの違いとか気になる…。

ネットサーフィンしていると、apt-get VS aptitudeはよく目にしますね!

 

あとは、lsofコマンドを使うと、今プロセスが読み込んでいるファイルを確認できるので、そこでlibsslでgrepかければ良いという話も聞きました。

lsof、既視感あると思ったら、glibcの時も同じようなことをしていたのを、すっかり忘れていました・・・。

 

フォロワーさんが、Redhat系のOpenSSLのパッケージについて調査されていたので、引用させていただきました。

 

そういえば、OpenSSLのパッケージの中身ってきちんと見たことないなぁ。

次回は、OpenSSLのパッケージの中身を見てみよう(debian)にしてみようかな。

反応くださった皆さん本当にありがとうございました!('ω')

 

また気になることがあったら追記しますね。