CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ:2014-04-08 - めもおきば

(情報元のブックマーク数

φ(..)メモメモ

何が起きているの

OpenSSLに脆弱性があり、SSLで通信している相手のメモリを閲覧できます*1。

具体的には、以下のようなシナリオが考えられます。

攻撃者がクライアント側の場合、 HTTPSサーバのSSL証明書秘密鍵が漏洩する。
攻撃者がクライアント側の場合、 HTTPSサーバのプロセス内にあるユーザー情報が漏洩する。特にApache+mod_php5のコンボでは、ウェブアプリ内の全ての情報が見られる可能性がある。
攻撃者がサーバ側の場合、HTTPSで外部のAPIサーバ等に接続したアプリケーションが、メモリ内にあるユーザー情報等が漏洩する。
これが危険になるケース: HTTPSのCommonNameの検証をきちんと行っていない場合や、外部APIサーバのSSL証明書秘密鍵が奪取された場合
攻撃された記録は一切残らない。安全側に倒すならば、脆弱性のあるバージョンをインターネットに公開していたら攻略されたとみなす方が良い。

2014-04-08

記事になった

オープンソースSSLTLS実装ライブラリ「OpenSSL」に発覚した脆弱性は、極めて重大な影響を及ぼすことが分かってきた。パスワードや秘密鍵などの情報が簡単に盗まれてしまうことも実証され、影響範囲は非常に広い。問題の修正には「OpenSSL 1.0.1g」に更新する必要があり、セキュリティ機関などが迅速な対応を呼び掛けている。  脆弱性は「heartbeat」という機能の実装問題に起因することから、重大性に鑑みて「Heartbleed」(「心臓出血」の意味)の名称で呼ばれている。セキュリティ企業のCodenomiconはこの脆弱性について詳しく解説したWebサイト「Heartbleed Bug」を開設した。  それによると、この脆弱性を突かれた場合、OpenSSLで保護されているはずのシステム上にあるメモリを、インターネット上で誰もが読めてしまえる。

OpenSSLの脆弱性、影響は極めて重大――パスワードや秘密鍵の流出も - ITmedia エンタープライズ

MSの佐藤さん(エバ)がこの早いタイミングでBlogとはいえ使ってないアピールするのは管理者としてはうれしい。

(Azure仮想マシン上のWindows Server、Azureストレージをはじめとする) Azureのその他の機能では、OpenSSLは使われておらず、OpenSSLの脆弱性の影響を受けません。

AzureにおけるOpenSSLの脆弱性への対応 | S/N Ratio (by SATO Naoki (Neo))

マスタリングTCP/IP SSL/TLS編

マスタリングTCP/IP SSL/TLS編

screenshot