OpenSSL の新しい脆弱性の情報がでるたびに検索していたため、ログします。

普通の確認方法

1$ openssl version
2OpenSSL 1.0.1e-fips 11 Feb 2013

ディストリビューションによってはこれが正確じゃないらしいです。

1$ cat /etc/redhat-release
2CentOS Linux release 7.2.1511 (Core)
3$ openssl version
4OpenSSL 1.0.1e-fips 11 Feb 2013

ん、たしかに出てくる内容が一致しませんね。

しっかり調べる方法

きちんとしたバージョンを調べるには yumrpm を使います。

1$ yum list installed | grep openssl
2Repodata is over 2 weeks old. Install yum-cron? Or run: yum makecache fast
3openssl.x86_64                          1:1.0.1e-51.el7_2.7        @updates
4openssl-devel.x86_64                    1:1.0.1e-51.el7_2.7        @updates
5openssl-libs.x86_64                     1:1.0.1e-51.el7_2.7        @updates
1$ rpm -qa | grep openssl
2openssl-devel-1.0.1e-51.el7_2.7.x86_64
3openssl-libs-1.0.1e-51.el7_2.7.x86_64
4openssl-1.0.1e-51.el7_2.7.x86_64

PHP ではどうなの ?

1$ php -i | grep OpenSSL
2OpenSSL support => enabled
3OpenSSL Library Version => OpenSSL 1.0.1e-fips 11 Feb 2013
4OpenSSL Header Version => OpenSSL 1.0.1e-fips 11 Feb 2013
5Native OpenSSL support => enabled

PHP で有効になっている OpenSSL バージョンを調べるとこうなりました。

実際は PHP インストール時のバージョンが有効になっていて、phpinfo() で得られるバージョンが、実際に使われている限らないらしいです。

難しいですね。

なんだそれ。

イラスト図解式 この一冊で全部わかるサーバーの基本

きはし まさひろ
出版社:SBクリエイティブ  発売日:2016-03-29

Amazonで詳細を見る