1. ホーム
  2. インフォメーション
  3. セキュリティ情報
  4. 【重要】 OpenSSL に重大な脆弱性

コンテンツ

セキュリティ情報

【重要】 OpenSSL に重大な脆弱性

2014年4月8日(火曜日)掲載


■概要
OpenSSL に 64Kバイトのメモリが露呈されてしまう脆弱性が発覚し,この問題を修正した「 OpenSSL 1.0.1g 」がリリースされました.
本脆弱性が悪用されると,これらの OpenSSL で保護されたシステムのメモリが誰でも閲覧できるようになります.メモリが閲覧されることによって,サービスプロバイダを識別しユーザーのトラフィック・名前・パスワードなどの情報を暗号化する秘密鍵が危険にさらされ,悪意のある攻撃者がサービスやユーザーから直接通信を傍受したり,データを盗んだりできるとのことです.

■対象
- OpenSSL 1.0.1 から OpenSSL 1.0.1f まで
- OpenSSL 1.0.2-beta から OpenSSL 1.0.2-beta1 まで

■対策
アップデートする
開発者が提供する情報をもとに,最新版( OpenSSL 1.0.1g )へアップデートを行ってください.直ちにアップグレードできない場合のために,「 OPENSSL_NO_HEARTBEATS 」のフラグを有効にして再コンパイルする方法も紹介しています.

■関連文書
OpenSSL org.
OpenSSL Security Advisory:TLS heartbeat read overrun (CVE-2014-0160)
OpenSSL:The Open Source toolkit for SSL/TLS

cloudflare.com
Staying ahead of OpenSSL vulnerabilities

関連情報 OpenSSL の脆弱性に関する注意喚起(JPCERT/CC)
JVNVU#94401838 OpenSSL の heartbeat 拡張に情報漏えいの脆弱性(JVN)
お問い合わせ 京都大学 情報部 情報基盤課 セキュリティ対策掛
電話番号:075-753-7490(内線7490)
E-mail:i-s-officeiimc.kyoto-u.ac.jp
お問い合わせフォーム

セキュリティ情報トップへ戻る

 

Copyright © Institute for Information Management and Communication, Kyoto University, all rights reserved.