コメント

4件のコメント

  • 正式なコメント
    Ichiro Takahashi

    ご確認ありがとうございます。

    ご利用中の httpd が当該脆弱性に未対応のため、httpd のアップデートを検討されるかと思います。

    httpd のアップデートに際しては(冗長構成であっても)一時的なサービスの停止を伴います。ジョブフローの動作も停止することになりますので、それが問題ない状況であることをご確認ください。もしくは、アップデートのためにメンテナンス期間を設けるなどをご検討ください。

    ちなみに、当該脆弱性の httpd の mod_session 機能は kompira では利用していないため、実際に影響を受ける可能性は低いかとは思います。

    以下に、簡単にアップデートの手順と注意点を示します。

    冗長構成の場合、2台のサーバは正常に稼働していれば「アクティブ状態」または「スタンバイ状態」のいずれかになります。まずは、いずれかのサーバ上で pcs status コマンドを用いて、クラスタの状態を確認してください。

    # pcs status
    Cluster name: ha-kompira-XXXXXX
    Stack: corosync
    Current DC: ha-kompira1 (version 1.1.23-1.el7_9.1-9acf116022) - partition with quorum
    Last updated: Thu Mar 17 11:48:17 2022
    Last change: Tue Mar 15 23:24:02 2022 by root via cibadmin on ha-kompira2

    2 nodes configured
    9 resource instances configured

    Online: [ ha-kompira1 ha-kompira2 ]

    Full list of resources:

     Resource Group: webserver
         res_memcached      (systemd:memcached):    Started ha-kompira1
         res_httpd  (ocf::heartbeat:apache):        Started ha-kompira1
         res_kompirad       (systemd:kompirad):     Started ha-kompira1
         res_kompira_jobmngrd       (systemd:kompira_jobmngrd):     Started ha-kompira1
         res_lsyncd (systemd:lsyncd):       Started ha-kompira1
     Master/Slave Set: ms_pgsql [res_pgsql]
         Masters: [ ha-kompira1 ]
         Slaves: [ ha-kompira2 ]
     Clone Set: res_rabbitmq-clone [res_rabbitmq]
         Started: [ ha-kompira1 ha-kompira2 ]

    Daemon Status:
      corosync: active/enabled
      pacemaker: active/enabled
      pcsd: active/enabled

    手元での確認結果ですので多少の表示差異はあるかと思いますが、「Online:」に2台のサーバが表示されていること、「res_rabbitmq」リソースに2台のサーバが Started であること、「res_pgsql」リソースに Masters と Slaves に1台づつのサーバがあること、「webserver」グループのすべてのリソースがいずれかのサーバで Started であること、を確認してください。いずれかが、想定しない結果である場合は、クラスタ状態が正常でない可能性がありますので、アップデートの前にクラスタ構成の正常化をご検討ください。

    クラスタ構成が正常であれば、スタンバイ状態のサーバ上では httpd が起動しておりませんでの、下記コマンドでそのままアップデートを実施いただくことが可能です。

    # yum update httpd

    httpd  がアップデートできましたら、上と同様に対策済みのバージョンになっているかご確認ください。

    # rpm -q httpd
    # rpm -q httpd --changelog | grep CVE-2021

    対策されたことが確認できましたら、アクティブ系とスタンバイ系を切り替えて、もう1台のサーバに対しても同様のアップデート手順が必要になります。

    (スタンバイ系のサーバが正常な状態で)アクティブ系のサーバで以下のコマンドを実行するとすべてのリソースが停止し、フェイルオーバーが発生してスタンバイ系のサーバがアクティブ状態になります。

    # pcs cluster stop

    しばらく待つと、旧スタンバイ系であったサーバ上ですべてのリソースが開始されるはずですので、pcs status コマンドで確認してください。

    # pcs status

    新アクティブ系が片系としてすべてのリソースが正常に動作していることが確認できましたら、旧アクティブ系のサーバにおいても先と同様に httpd のアップデートを実施してください。

    その後、旧アクティブ系を再開させ新アクティブ系と同期するために、旧アクティブ系で以下のコマンドを実行してください。

    # /opt/kompira/bin/sync_master.sh

    これで旧アクティブ系がデータベースの同期を取って、新スタンバイ系としてクラスタに参加します。しばらく待つと、rabbitmq および postgresql が起動するはずですので、最初と同様に pcs status コマンドを用いて各リソースが正常であるかを確認してください。

    # pcs status

    以上の手順が問題なく実施できれば、両系の httpd はアップデートされて、アクティブ・スタンバイが実施前と入れ替わった状態、となります。

    参考になさってください。

    コメントアクション Permalink
  • Ichiro Takahashi

    フィックスポイントの高橋です。

    アップデートに際しては構成によって、注意点が異なってくるかもしれませんので、まずは、ご利用になられている OS のバージョンと、httpd 詳細バージョンを教えていただけますでしょうか。

    なお、Red Hat の下記 errata によると、当該脆弱性は RHEL7 では httpd-2.4.6-97.el7_9.4 で修正済みで、
    https://access.redhat.com/errata/RHSA-2022:0143

    CentOS では httpd-2.4.6-97.el7.centos.4 で修正済みである、といった情報が見受けられます。

    手元の比較的最近構築した CentOS 7.8 環境では、以下のように対策済みであることが確認できます。

    $ cat /etc/redhat-release 
    CentOS Linux release 7.8.2003 (Core)
    $ rpm -q httpd
    httpd-2.4.6-97.el7.centos.4.x86_64
    $ rpm -q httpd --changelog | grep CVE-2021
    - Resolves: #2031072 - CVE-2021-34798 httpd: NULL pointer dereference via
    - Resolves: #2031074 - CVE-2021-39275 httpd: out-of-bounds write in
    - Resolves: #1969226 - CVE-2021-26691 httpd: Heap overflow in mod_session
    - Resolves: #2035058 - CVE-2021-44790 httpd: mod_lua: possible buffer overflow
    - Resolves: #2015694 - proxy rewrite to unix socket fails with CVE-2021-40438 fix
    - Resolves: #2011729 - CVE-2021-40438 httpd: mod_proxy: SSRF via a crafted

    よろしければ、上記同様のコマンド実行結果を教えていただけますでしょうか。

    0
    コメントアクション Permalink
  • fuse

    ご返信ありがとうございます。
    以下の画像がコマンドの実行結果になります。
    アップデートが必要になると思われます。

    0
    コメントアクション Permalink
  • fuse

    ご回答ありがとうございます。
    無事アップデートすることができました。

    0
    コメントアクション Permalink

サインインしてコメントを残してください。