ハートブリードについて

注意: この記事は1年以上前に掲載されたものです。情報が古い場合がありますのでお気を付け下さい。

2014年4月に発覚して大きな騒動になっているOpenSSLの一部のバージョン(1.0.1)に含まれている「壊滅的」とまで言われていて「ハートブリード」(Heartbleed)と呼ばれるバグだが、これは2011年に協力者から提供されたパッチに含まれていて、OpenSSLのプロジェクトがそのバグに気付かぬまま2012年にver.1.0.1として公開、今年の3月終わり頃になってから報告されたものである。

これによってHeartbeatsを有効にした1.0.1〜1.0.1fまでのOpenSSLに影響があり、サーバーの秘密鍵やユーザーのセッション情報やパスワードを盗み出せてしまうという壊滅的に危険な状態になってしまう。

1.0.1g以降 ((Linuxディストリビューションによっては独自の対策がとられたバージョンも含む)) あるいはHeartbeatsを無効にしたものは影響を受けないとされている。

複数の企業のデータから個人情報が不正に読み取られた状態にあるため、さらなる被害が出ないように、OpenSSL利用者にはバージョンアップあるいはHeartbeatsを無効化したバイナリーに差し替えるなどの対策が求められる。

なお、当方の環境では対策済みのバージョンになっていた。

タイトルとURLをコピーしました