8日に随分とやべぇ脆弱性情報が公表されましたね
対応もひと段落したので、少しメモを。
って再度調べなおしてみたら、緊急性が上がっているじゃないですか
OpenSSL の脆弱性対策について(CVE-2014-0160)
オープンソースの暗号通信ライブラリである OpenSSL に、情報漏えいの脆弱性が発見されました。
この脆弱性を悪用された場合、本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。
======== 4/11 修正 ========
攻撃が行われた場合の影響が大きい脆弱性であるため、できるだけ早急に対策を実施して下さい。
既に、当該脆弱性を悪用できる攻撃コードが公開されており、その攻撃コードを用いたと思われる通信も観測されているとの情報があるため、至急、対策を実施して下さい。
========================
今回の問題が何がヤバいって
- Linux系で暗号化処理はほとんどOpenSSLが利用されている
- 攻撃方法が簡単
- 破壊力が高い
- 実は2年前からのバグでした
等、いろいろ不味いです。
不幸中の幸いいえば
今回の脆弱性が報告されているバージョンが
RedHatELやCentOSでRPM配布されたのはここ半年前後くらいという事
対応策が、パッチアップデートか再コンパイルしかないので
ほぼこちら側で打つ手はありませんが
残念にも対象の環境で、パッケージアップデートが完了したら下記を確認します。
rpm -q --whatrequires 'libssl.so.10' 'libssl.so.10()(64bit)'libssl を使用しているため再起動が必要な実行中のプロセスを確認するには、以下のコマンドを実行
lsof -d DEL | grep libssl.so.1.0.1e
とりあえず、対象だった場合すでに暗号化情報が盗まれているとアウトなので
暗号化鍵は再発行、サーバーは再起動しましょう。
大げさと思わず、SSL証明書の再発行も行いましょう、無料で対応してくれると思います。
さらに、LBやFW等もメーカーに確認しましょう。
またRedHat等でも脆弱性確認ツールが公開されています(いいのか・・)
試しに試してみるのもいいかもしれませんね(自己責任で)
http://filippo.io/Heartbleed/
大変助かることに、情報は迅速に公開されているので引き続き情報を確認したいと思います。
今はサーバサイドが騒がれていますが
今後はクライアント側、ゲーム機や携帯機器やソフトウェアが騒がれそうですね。
The Heartbleed Bug (本家)
http://heartbleed.com/
OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
http://jvn.jp/vu/JVNVU94401838/
CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ
http://d.hatena.ne.jp/nekoruri/20140408/heartbleed
CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ
http://d.hatena.ne.jp/nekoruri/20140408/heartbleed
John Viega Matt Messier Pravir Chandra 齋藤 孝道
オーム社
売り上げランキング: 132,575
オーム社
売り上げランキング: 132,575
0 コメント:
コメントを投稿