update ALL the server #heartbleed #openssl #nightshift pic.twitter.com/BkO2DHT8Rt
— Andreas Kupfer (@ScottyTM) April 7, 2014
OpenSSLの脆弱性
- http://www.openssl.org/news/secadv_20140407.txt
- http://www.openssl.org/news/vulnerabilities.html#2014-0160
影響
Heartbleedのバグは、インターネット上の誰もがOpenSSLソフトウェアの脆弱なバージョンで保護されているシステムのメモリを読み取ることができます。
Google translateがすごいぃ。日本語の切れ味が。原文は以下。
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software.
対象は1.0.1 and 1.0.2-beta
Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.
チェックツール
Versionの確認方法
root@host:~# openssl version
OpenSSL 0.9.8o 01 Jun 2010
対応方法
- OpenSSLのUpdate
- SSL証明書の破棄と再発行
影響を受けるユーザーは、OpenSSLの1.0.1gにアップグレードする必要があります。即座にできないユーザー
アップグレードは、代わりに-DOPENSSL_NO_HEARTBEATS OpenSSLを再コンパイルすることができます。
1.0.2は1.0.2-β2で修正される予定です。
完璧な日本語やないか powered by Google Translate 〜
さらに、SSL証明書を更新する必要があります。こちらに詳しく書かれています。
http://d.hatena.ne.jp/nekoruri/20140408/heartbleed
脆弱性のあるバージョンを使っていた場合、最悪でSSL証明書の秘密鍵が奪取されている可能性があります。この場合、現在使っているSSL証明書を失効(revoke)させ、再発行する必要があります。
状況や対応方法
AWS ELB
AWS EC2
http://qiita.com/tachiba/items/83e5fd31d06e6577abb3
http://dev.classmethod.jp/cloud/aws/awsheartbleedbug/
Heroku
Engine Yard
詳しく
Twitter #hartbeed
https://twitter.com/search?q=%23heartbleed&src=tyah
特設ページ
http://heartbleed.com/
DeNAのBlog 脆弱性とコードの解説
http://developers.mobage.jp/blog/2014/4/15/heartbleed
Gigazineの記事
http://gigazine.net/news/20140408-heartbleed-bug/
Techcrunchの記事
http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/
修正コミット
https://github.com/openssl/openssl/commit/96db9023b881d7cd9f379b0c154650d6c108e9a3
Thanks Thanks
Thanks for Neel Mehta of Google Security!!
etc
いよいよSSLもオワコンか。。。 #heartbleed
— Kenn Ejima (@kenn) April 8, 2014
w