CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ:2014-04-08 - めもおきば
φ(..)メモメモ
何が起きているの
2014-04-08
OpenSSLに脆弱性があり、SSLで通信している相手のメモリを閲覧できます*1。
具体的には、以下のようなシナリオが考えられます。
攻撃者がクライアント側の場合、 HTTPSサーバのSSL証明書の秘密鍵が漏洩する。
攻撃者がクライアント側の場合、 HTTPSサーバのプロセス内にあるユーザー情報が漏洩する。特にApache+mod_php5のコンボでは、ウェブアプリ内の全ての情報が見られる可能性がある。
攻撃者がサーバ側の場合、HTTPSで外部のAPIサーバ等に接続したアプリケーションが、メモリ内にあるユーザー情報等が漏洩する。
これが危険になるケース: HTTPSのCommonNameの検証をきちんと行っていない場合や、外部APIサーバのSSL証明書秘密鍵が奪取された場合
攻撃された記録は一切残らない。安全側に倒すならば、脆弱性のあるバージョンをインターネットに公開していたら攻略されたとみなす方が良い。
記事になった
オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に発覚した脆弱性は、極めて重大な影響を及ぼすことが分かってきた。パスワードや秘密鍵などの情報が簡単に盗まれてしまうことも実証され、影響範囲は非常に広い。問題の修正には「OpenSSL 1.0.1g」に更新する必要があり、セキュリティ機関などが迅速な対応を呼び掛けている。 脆弱性は「heartbeat」という機能の実装問題に起因することから、重大性に鑑みて「Heartbleed」(「心臓出血」の意味)の名称で呼ばれている。セキュリティ企業のCodenomiconはこの脆弱性について詳しく解説したWebサイト「Heartbleed Bug」を開設した。 それによると、この脆弱性を突かれた場合、OpenSSLで保護されているはずのシステム上にあるメモリを、インターネット上で誰もが読めてしまえる。
OpenSSLの脆弱性、影響は極めて重大――パスワードや秘密鍵の流出も - ITmedia エンタープライズ
MSの佐藤さん(エバ)がこの早いタイミングでBlogとはいえ使ってないアピールするのは管理者としてはうれしい。
(Azure仮想マシン上のWindows Server、Azureストレージをはじめとする) Azureのその他の機能では、OpenSSLは使われておらず、OpenSSLの脆弱性の影響を受けません。
AzureにおけるOpenSSLの脆弱性への対応 | S/N Ratio (by SATO Naoki (Neo))
- 作者: Eric Rescorla,齋藤孝道,古森貞,鬼頭利之
- 出版社/メーカー: オーム社
- 発売日: 2003/11/01
- メディア: 単行本
- 購入: 4人 クリック: 68回
- この商品を含むブログ (21件) を見る