OpenSSLの脆弱性「heartbleed/CVE-2014-0160」について
こんにちは。匠技術研究所の谷山 亮治です。
今日はOpenSSLの脆弱性「heartbleed/CVE-2014-0160」についての情報です。
heartbleed/CVE-2014-0160はSSLでの通信内容をサーバー上のメモリー上で抜き取られる可能性があります。最新版のOpenSSLではこの脆弱性は解消されています。
対象:
OpenSSL 1.0.1 ~ 1.0.1f
OpenSSL 1.0.2-beta ~ 1.0.2-beta1
対策はOpenSSLのバージョンアップと、SSL上で使ったパスワードなどの変更です。OpenSSLはUNIX系、Linux系、FreeBSDなどBSD系の基本ソフトとApache, nginx等オープンソース系Webサーバーの組み合わせで広く使われています。影響範囲は広く、各種報道によると60%のWebサーバーが該当するとされています。該当バージョンが無条件に脆弱性を持つわけではなく、該当バージョンでTLSのKeep Aliveを設定しているサイトに影響があります。
公開WebサーバーにSSLページを持つ場合は、この脆弱性に該当するか否かの確認と対策が必要です。
また、当然ながらOpenSSLそのものや、OpenSSLライブラリーを使ったソフトウエアも影響を受けます。脆弱性を備えるOpenSSLの利用者全てがOpenSSLを最新版にアップデートする必要があります。
こちらからサイトの安全性を確認(異常の表示の際はFAQ/statsをよく読んでください。)
Heartbleed test(En)
IPA(情報処理推進機構)のアナウンス
OpenSSL の脆弱性対策について(CVE-2014-0160)
TechCrunchでの脆弱性発生メカニズム解説ビデオ(英語)
What Is Heartbleed? The Video(TechCrunch)(En)
アクセス
トータル
ランキング
