株はがまん☂☃ が出来ないさんのブログ
WBS パスワード丸見え
ついて行けない世界に迷い込んだ
すべて分からない
ネットにおくお金を最小限にする
オープンソースの暗号通信ライブラリである OpenSSL に、情報漏えいの脆弱性が発見されました。
この脆弱性を悪用された場合、本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。
一般利用者が知らないうちに、攻撃者はこの脆弱性を悪用してサーバのデータを窃取できます。その結果、たとえば以下のことが起こり得ます:
- 利用者が攻撃者になりすまされる可能性があります(攻撃者が利用者の ID やパスワードを窃取した場合)
- 攻撃者に暗号通信を解読される恐れがあります(攻撃者が秘密鍵を窃取した場合)
既に、当該脆弱性を悪用できる攻撃コードが公開されており、その攻撃コードを用いたと思われる通信も観測されているとの情報があるため、至急、対策を実施して下さい。
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
独立行政法人情報処理推進機構 (IPA)
OpenSSL の脆弱性対策について(CVE-2014-0160)
https://www.jpcert.or.jp/wr/2014/wr141501.html#1
「NSAは最近特定されたHeartbleedの脆弱性について、公にされるまで知らなかった」
Bloombergは、この件に詳しい2人の関係者の話として同記事を掲載した(現在この記事は更新され、NSAからの反論が反映されている)。