1. HOME
  2. Information
  3. Security Alert
  4. 【重要】 OpenSSL に重大な脆弱性

コンテンツ

Security Alert

【重要】 OpenSSL に重大な脆弱性

publication date : Apr. 8, 2014


■概要
OpenSSL に 64Kバイトのメモリが露呈されてしまう脆弱性が発覚し,この問題を修正した「 OpenSSL 1.0.1g 」がリリースされました.
本脆弱性が悪用されると,これらの OpenSSL で保護されたシステムのメモリが誰でも閲覧できるようになります.メモリが閲覧されることによって,サービスプロバイダを識別しユーザーのトラフィック・名前・パスワードなどの情報を暗号化する秘密鍵が危険にさらされ,悪意のある攻撃者がサービスやユーザーから直接通信を傍受したり,データを盗んだりできるとのことです.

■対象
- OpenSSL 1.0.1 から OpenSSL 1.0.1f まで
- OpenSSL 1.0.2-beta から OpenSSL 1.0.2-beta1 まで

■対策
アップデートする
開発者が提供する情報をもとに,最新版( OpenSSL 1.0.1g )へアップデートを行ってください.直ちにアップグレードできない場合のために,「 OPENSSL_NO_HEARTBEATS 」のフラグを有効にして再コンパイルする方法も紹介しています.

■関連文書
OpenSSL org.
OpenSSL Security Advisory:TLS heartbeat read overrun (CVE-2014-0160)
OpenSSL:The Open Source toolkit for SSL/TLS

cloudflare.com
Staying ahead of OpenSSL vulnerabilities

Related Information OpenSSL の脆弱性に関する注意喚起(JPCERT/CC)
JVNVU#94401838 OpenSSL の heartbeat 拡張に情報漏えいの脆弱性(JVN)
Inquiry TEL:075-753-7490(7490)
E-mail:i-s-officeiimc.kyoto-u.ac.jp

Back to Security Alert

 

Copyright © Institute for Information Management and Communication, Kyoto University, all rights reserved.