OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ - ITmedia エンタープライズ

IT セキュリティ

(情報元のブックマーク数

φ(..)メモメモ

オープンソースSSLTLS実装ライブラリ「OpenSSL」に64Kバイトのメモリが露呈されてしまう脆弱性が発覚し、この問題を修正した「OpenSSL 1.0.1g」が4月7日に公開された。
OpenSSLのセキュリティ情報によると、脆弱性TLS Heartbeat拡張の処理における境界チェックの不備に起因する。悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れがある。
この脆弱性は、OpenSSL 1.0.1fと1.0.2-beta1を含む1.0.1および1.0.2-betaリリースに存在しており、1.0.1gで修正された。直ちにアップグレードできない場合のために、「OPENSSL_NO_HEARTBEATS」のフラグを有効にして再コンパイルする方法も紹介している。

OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ - ITmedia エンタープライズ

マスタリングTCP/IP SSL/TLS編

マスタリングTCP/IP SSL/TLS編

screenshot