reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
heartbleed.png

 オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に深刻な脆弱性が見つかり、今朝から大きな話題となっています。

OpenSSL の脆弱性に関する注意喚起
OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付することでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得する可能性があります。


 「The Heartbleed Bug」と名付けられたこの脆弱性が含まれるバージョンの「OpenSSL」を利用しているサーバ管理者や企業などのセキュリティ担当者は対応に苦慮されているかと思います。
 
 また、中には管理者と連絡がつかないなどで、サーバが「The Heartbleed Bug」の影響をうけるのかどうかわからないというケースもあるでしょう。そのような場合には、以下のサイトでチェックするといいでしょう。

Test your server for Heartbleed (CVE-2014-0160)
Enter the hostname of a server to test it for CVE-2014-0160.


 外部サイトで調査するのに抵抗がある方は、ソースコードも公開されているので、自分で環境を作ってローカルで試すといいでしょう。最終的には導入バージョンを確認する必要がありますが、簡易的なチェックとしては有効です。
 
 なお、脆弱性の影響を受けるのは以下のバージョンです。
 ・OpenSSL 1.0.1 から 1.0.1f
 ・OpenSSL 1.0.2-beta から 1.0.2-beta1
 
 上記バージョンのOpenSSLを利用している場合、インターネット上からそのシステムのメモリを読み取ることができます。これにより、秘密鍵を取り出すことが可能となり、暗号化された情報を盗まれる恐れがあります。
 
 該当するバージョンを使用している場合は、「バージョン1.0.1g」にアップグレードする必要があります。

関連記事


利用者として私が実践してるHeartBleed脆弱性対策をご紹介 リストとChromeBleed & SSL Server Testでチェック! : I believe in technology
サーバ管理者でもセキュリティエンジニアでもない方にとっては、この脆弱性が意味するところを理解するのはなかなか難しいのではないかと思います。そこで今回は、この脆弱性が一般的なインターネット利用者に与える影響について解説し、その後、私が実践している利用者としての対策をご紹介したいと思います。


入れちゃダメ! 秘密鍵が安全かどうかチェックするジョークサイト - I believe in technology
 そんな時に、以下のようなサーバの秘密鍵が安全かどうかチェックするサイトを見つけてしまったら、藁にもすがる思いで自分の秘密鍵を入れてしまうかもしれません。


【簡単チェック】お宅のルーターは大丈夫? 悪用されないかどうかチェックしてみよう : I believe in technology
DDoS攻撃に悪用されるかもしれない」と言われても、家庭に設置しているルータが悪用されているのかどうかを一般の方が調べるのは難しいのではないでしょうか?そこで、誰でも簡単に悪用の可能性がないかどうかを調べることができる「オープンリゾルバ確認サイト」とその手順をご紹介したいと思います。


iOSの脆弱性はSSLだけじゃない。キーストロークを監視し、外部に送れるアプリをiOS端末にインストールできることが発見される : I believe in technology
iOSの抱えるセキュリティ問題はこれだけではありません。セキュリティベンダー「FireEye」がiOSには別のセキュリティ上の欠陥があると同社のブログで主張しています。


Posted by
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。