NSSライブラリの脆弱性に関するSSL対応サイトへの影響と確認方法

こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。

2021年12月に暗号ライブラリである「NSS」について脆弱性（CVE-2021-43527）が発表されました。

悪用されると任意のコマンドが実行される可能性がある危険な脆弱性ということでRedhat社からは最も重要度の高いCritical Impact と発表されています。

NSSはWebサイトやメール送受信などでも使われているSSL/TLS通信を実装しているライブラリとなっており、コンテンツやサーバー環境によってはWebサイトにも影響する可能性があります。

上述の通り悪用されると任意のコマンドが実行される可能性があるため、サーバーを乗っ取られてしまうリスクがあります。

ホスティングサービスやレンタルサーバーを利用している場合はサービスの提供元へ影響有無を確認することをお勧めしますが、専用サーバーやクラウドサーバーを自社で構築している場合は影響範囲を確認する必要があります。

本記事では脆弱性を受けるバージョンと一般的なWebサーバーでの影響有無の確認方法をご紹介します。

脆弱性の対象となるバージョン

影響を受けるNSSのバージョンは3.73以下、もしくは3.68.1以下と発表されています。

ただし、RedhatなどのOSに付属しているパッケージを利用している場合は下記のようにOS提供元が修正パッケージを発表していることもありますため、各社の対応状況を確認する必要があります。

■ Amazon Linux 2

■ Red Hat Enterprise Linux Server 7

Amazon Linux 2やRed Hat Enterprise Linux Server 7でyumを利用している場合はrpmコマンドなどで関連パッケージが上述の対応済みバージョンかそれ以上となっているか確認します。

# rpm -qa | grep "nss-\|nspr-"

もしもバージョンが古い場合はサイトの影響を確認の上、修正パッケージの適用を検討する必要があります。

Apacheを利用してmod_sslパッケージをインストールしてSSLの設定を行っている場合はOpenSSLを用いるため影響はありません。mod_nssパッケージを利用している場合は影響を受ける可能性があります。

NSSのバージョン確認と同様、yumを利用している場合は下記のコマンドでmod_nssパッケージの有無を確認できます。

# rpm -q mod_nss

Nginxはコンパイル時にOpenSSLライブラリの場所を指定するようになっており、NSSを使ったメジャーなライブラリも見当たらないため、通常は影響しないと思われます。

Webサーバーではありませんが、PHPで外部と通信するのによく使われるcURLも環境によってはNSSを利用している可能性があります。

下記のコマンドでOpenSSLではなくNSSのバージョンが表示された場合はNSSのバージョンについて確認が必要です。

# curl -V

NSSはインターネットで広く使われているSSL/TLSを提供しているライブラリとなるため、影響範囲を把握する方法もサイトによって様々です。

上記以外でもPHPやPerlのライブラリや独自実装で動作しているプログラムなど、サイト内の機能で通信にNSSを利用している可能性もあるため、ご利用のサイトの制作会社やサーバー提供元にも影響の有無を確認されることをお勧めします。

自社サーバーなどで脆弱性対応が難しい場合、弊社でお客様サーバーについてヒアリングや調査させていただき、運用や移行についてご提案可能ですのでぜひご相談くださいませ。

「クロジカサーバー管理」の詳しい内容がわかる資料をご用意しました。