openssl
セキュリティ
heartbleed
cve

Heartbleed ~ OpenSSL脆弱性 (CVE-2014-0160) まとめ

More than 5 years have passed since last update.


OpenSSLの脆弱性


影響

Heartbleedのバグは、インターネット上の誰もがOpenSSLソフトウェアの脆弱なバージョンで保護されているシステムのメモリを読み取ることができます。

Google translateがすごいぃ。日本語の切れ味が。原文は以下。

The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software.


対象は1.0.1 and 1.0.2-beta

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including

1.0.1f and 1.0.2-beta1.


チェックツール

http://filippo.io/Heartbleed/


Versionの確認方法

root@host:~#  openssl  version

OpenSSL 0.9.8o 01 Jun 2010


対応方法


  1. OpenSSLのUpdate

  2. SSL証明書の破棄と再発行

影響を受けるユーザーは、OpenSSLの1.0.1gにアップグレードする必要があります。即座にできないユーザー 

アップグレードは、代わりに-DOPENSSL_NO_HEARTBEATS OpenSSLを再コンパイルすることができます。

1.0.2は1.0.2-β2で修正される予定です。

完璧な日本語やないか powered by Google Translate 〜

さらに、SSL証明書を更新する必要があります。こちらに詳しく書かれています。

http://d.hatena.ne.jp/nekoruri/20140408/heartbleed

脆弱性のあるバージョンを使っていた場合、最悪でSSL証明書の秘密鍵が奪取されている可能性があります。この場合、現在使っているSSL証明書を失効(revoke)させ、再発行する必要があります。


状況や対応方法


AWS ELB

https://aws.amazon.com/jp/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/


AWS EC2

http://qiita.com/tachiba/items/83e5fd31d06e6577abb3

http://dev.classmethod.jp/cloud/aws/awsheartbleedbug/


Heroku

https://status.heroku.com/incidents/606


Engine Yard

https://support.cloud.engineyard.com/entries/50554018


詳しく

Twitter #hartbeed

https://twitter.com/search?q=%23heartbleed&src=tyah

特設ページ

http://heartbleed.com/

DeNAのBlog 脆弱性とコードの解説

http://developers.mobage.jp/blog/2014/4/15/heartbleed

Gigazineの記事

http://gigazine.net/news/20140408-heartbleed-bug/

Techcrunchの記事

http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/

修正コミット

https://github.com/openssl/openssl/commit/96db9023b881d7cd9f379b0c154650d6c108e9a3


Thanks Thanks


Thanks for Neel Mehta of Google Security!!


etc

w