ハートブリードについて

2014年4月に発覚して大きな騒動になっているOpenSSLの一部のバージョン(1.0.1)に含まれている「壊滅的」とまで言われていて「ハートブリード」(Heartbleed)と呼ばれるバグだが、これは2011年に協力者から提供されたパッチに含まれていて、OpenSSLのプロジェクトがそのバグに気付かぬまま2012年にver.1.0.1として公開、今年の3月終わり頃になってから報告されたものである。

これによってHeartbeatsを有効にした1.0.1〜1.0.1fまでのOpenSSLに影響があり、サーバーの秘密鍵やユーザーのセッション情報やパスワードを盗み出せてしまうという壊滅的に危険な状態になってしまう。

1.0.1g以降1 あるいはHeartbeatsを無効にしたものは影響を受けないとされている。

複数の企業のデータから個人情報が不正に読み取られた状態にあるため、さらなる被害が出ないように、OpenSSL利用者にはバージョンアップあるいはHeartbeatsを無効化したバイナリーに差し替えるなどの対策が求められる。

なお、当方の環境では対策済みのバージョンになっていた。

ウェブマスター。本ブログでITを中心にいろいろな情報や意見などを提供しております。仕事依頼や相談などについては、Contact Formよりお願いいたします。
  1. Linuxディストリビューションによっては独自の対策がとられたバージョンも含む []
スポンサーリンク

フォローする