この問題は2014/4/7に公開されましたが、2年前から発生していたそうです。
OpenSSLが広く復旧していることや、SSLは重要な情報を含む通信で使われること、実証コードが流通したことがあり、報道されたのだと思います。
(OpenSSLはホームページで「この通信はSSLで暗号化されて・・・」と記載されている場合や、「https://」から始まるアドレスの場合などに使用されている可能性があります。)
■Heartbleedという脆弱性の名前の由来
OpenSSLのHeartbeat(ハートビート、心臓の鼓動)という機能に見つかった脆弱性であるため、Heartbleed(ハートブリード、心臓出血)という名前がつけれています。
■しくみ
Heartbeatはサービスが利用可能か定期的に問い合わせを行う機能です。この機能を使ってクライアントから悪意ある問い合わせを行うと、サーバーが利用可能である旨を伝える情報だけでなく「メモリ上にある関係ない情報」まで返してしまいます。
「メモリ上にある関係ない情報」にユーザーのログインパスワードやクレジットカードの情報などが含まれている可能性があります。
サーバーのメモリ上にある情報が流出するため、頻繁に利用しているサービスほどリスクが高くなります。
■対処方法
この問題への対処方法はサービスを利用しないくらいしかありません。基本的にはサーバー側でも記録に残らず、情報漏えいの有無は判断できないないので、
サービスを利用していたのであれば、漏えいした可能性のあるパスワードやクレジットカードの番号などを変更するくらいしかありません。
(ただし、サービス提供元が対策をしてくれない限り、変更後の情報もまた危険にさらされることになります。)
■この問題がある(あった)サービス
FacebookGmail
YouTube
Yahoo Mail
Dropbox
Amazon Web Services
GitHub
Wikipedia
VMware「ESXi 5.5」「vCenter Server 5.5」「VMware Fusion 6.0.x」など
Cisco「Cisco UCS B-Series」「Cisco UCS C-Series」「Cisco IOS XE」など
Juniper Networks 「Junos OS 13.3R1」など
FreeBSD 10.0
NetBSD 6
Red Hat Enterprise Linux 6
Ubuntu 13.10、12.10、12.04 LTS
Android 4.1.1
■この問題がなかったサービス
AmazonMicrosoftのサポート中の全サービス
Apple
eBay
Groupon
PayPal
Hulu
American Express
Evernote
■この問題の有無が不明なサービス
Twitter------------------------------------------------
巷を賑わすHeartbleedの脆弱性とは?!
http://developers.mobage.jp/blog/2014/4/15/heartbleed
まずはパスワード変更を! OpenSSLに見つかった「Heartbleed」バグへの対処
http://www.life-gp.net/2014/04/opensslheartbleed.html
影響を受けるサービスの一覧はMashableのページをご覧ください。(英語)
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家
http://www.atmarkit.co.jp/ait/articles/1404/10/news128.html
Heartbleed脆弱性検査
http://ssl.white.hacker.jp/hb/hb?
0 件のコメント:
コメントを投稿