読者です 読者をやめる 読者になる 読者になる

01647

ustreamer-01647

opensslのheartbleedに関する私の認識

危険性を煽るばかりの文書が目に付いて不愉快なので,理性的メモを感情的に作る.「対象が特定されている」「攻撃されたぶんは取り返しがつかない,追跡もできない」「最新版では解消されている」

  1. 概要
    1. 脆弱性を取り除いた版はすでにリリースされている
    2. 2年ほど前からリリースしているあらゆる版が脆弱性を持つ
    3. 脆弱性の内容は,メモリの,任意位置の連続した64KBが読み取られる点
    4. 繰り返し実行されることで,その時のメモリの内容を隅々まで読み取られる
    5. セキュリティツールはopensslの他にもある.例えばfilezillaはgnutlsを使用しているとかで,関係ない
    6. 内容の深刻さから,誰かがHeart Bleed(心臓出血)という呼称を付け,深刻さばかりが広まっている
  2. 一般人がすべきこと
    1. セキュリティ機能付きソフトウェア更新.ffftpとかね
    2. 個人情報がメモリに載る状況を回避するため,opensslを利用してセキュリティを確保しているサービスにログインしない.彼らの対応待ち
  3. opensslを利用しているサービス提供者はサービスを止め,使用するopensslライブラリを更新するなどして対策し,再開する.告知する

追記エリア

この辺の情報が素敵だったというメモ.