Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
21
Help us understand the problem. What is going on with this article?
@ukitazume

Heartbleed ~ OpenSSL脆弱性 (CVE-2014-0160) まとめ

More than 5 years have passed since last update.

OpenSSLの脆弱性

影響

Heartbleedのバグは、インターネット上の誰もがOpenSSLソフトウェアの脆弱なバージョンで保護されているシステムのメモリを読み取ることができます。

Google translateがすごいぃ。日本語の切れ味が。原文は以下。

The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software.

対象は1.0.1 and 1.0.2-beta

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

チェックツール

Versionの確認方法

root@host:~#  openssl  version
OpenSSL 0.9.8o 01 Jun 2010

対応方法

  1. OpenSSLのUpdate
  2. SSL証明書の破棄と再発行
影響を受けるユーザーは、OpenSSLの1.0.1gにアップグレードする必要があります。即座にできないユーザー 
アップグレードは、代わりに-DOPENSSL_NO_HEARTBEATS OpenSSLを再コンパイルすることができます。 

1.0.2は1.0.2-β2で修正される予定です。

完璧な日本語やないか powered by Google Translate 〜

さらに、SSL証明書を更新する必要があります。こちらに詳しく書かれています。
http://d.hatena.ne.jp/nekoruri/20140408/heartbleed

脆弱性のあるバージョンを使っていた場合、最悪でSSL証明書の秘密鍵が奪取されている可能性があります。この場合、現在使っているSSL証明書を失効(revoke)させ、再発行する必要があります。

状況や対応方法

AWS ELB

AWS EC2

http://qiita.com/tachiba/items/83e5fd31d06e6577abb3
http://dev.classmethod.jp/cloud/aws/awsheartbleedbug/

Heroku

Engine Yard

詳しく

Twitter #hartbeed
https://twitter.com/search?q=%23heartbleed&src=tyah

特設ページ
http://heartbleed.com/

DeNAのBlog 脆弱性とコードの解説
http://developers.mobage.jp/blog/2014/4/15/heartbleed

Gigazineの記事
http://gigazine.net/news/20140408-heartbleed-bug/

Techcrunchの記事
http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/

修正コミット
https://github.com/openssl/openssl/commit/96db9023b881d7cd9f379b0c154650d6c108e9a3

Thanks Thanks

Thanks for Neel Mehta of Google Security!!

etc

w

21
Help us understand the problem. What is going on with this article?
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ukitazume
Yahoo!Japan/Pankaku/Engine Yard/sitateru/Sysdig Ruby/Infrastructure/Angularjs/English/Golang/CoreOS/Deis/Kubernetes

Comments

No comments
Sign up for free and join this conversation.
Sign Up
If you already have a Qiita account Login
21
Help us understand the problem. What is going on with this article?