opensslのheartbleedに関する私の認識
危険性を煽るばかりの文書が目に付いて不愉快なので,理性的メモを感情的に作る.「対象が特定されている」「攻撃されたぶんは取り返しがつかない,追跡もできない」「最新版では解消されている」
- 概要
- 脆弱性を取り除いた版はすでにリリースされている
- 2年ほど前からリリースしているあらゆる版が脆弱性を持つ
- 脆弱性の内容は,メモリの,任意位置の連続した64KBが読み取られる点
- 繰り返し実行されることで,その時のメモリの内容を隅々まで読み取られる
- セキュリティツールはopensslの他にもある.例えばfilezillaはgnutlsを使用しているとかで,関係ない
- 内容の深刻さから,誰かがHeart Bleed(心臓出血)という呼称を付け,深刻さばかりが広まっている
- 一般人がすべきこと
- セキュリティ機能付きソフトウェア更新.ffftpとかね
- 個人情報がメモリに載る状況を回避するため,opensslを利用してセキュリティを確保しているサービスにログインしない.彼らの対応待ち
- opensslを利用しているサービス提供者はサービスを止め,使用するopensslライブラリを更新するなどして対策し,再開する.告知する
追記エリア
この辺の情報が素敵だったというメモ.
- Heartbleed脆弱性の影響とパスワード変更に関する議論 - Togetterまとめ 2014-04-11 12:07:35 から同日15:46:40まで
- Kazuho's Weblog: Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について 投稿者 Kazuho Oku 時刻: 3:41 PM