- HOME
- Information
- Security Alert
- 【重要】 OpenSSL に重大な脆弱性
コンテンツ
Security Alert
【重要】 OpenSSL に重大な脆弱性
publication date : Apr. 8, 2014
■概要
OpenSSL に 64Kバイトのメモリが露呈されてしまう脆弱性が発覚し,この問題を修正した「 OpenSSL 1.0.1g 」がリリースされました.
本脆弱性が悪用されると,これらの OpenSSL で保護されたシステムのメモリが誰でも閲覧できるようになります.メモリが閲覧されることによって,サービスプロバイダを識別しユーザーのトラフィック・名前・パスワードなどの情報を暗号化する秘密鍵が危険にさらされ,悪意のある攻撃者がサービスやユーザーから直接通信を傍受したり,データを盗んだりできるとのことです.
■対象
- OpenSSL 1.0.1 から OpenSSL 1.0.1f まで
- OpenSSL 1.0.2-beta から OpenSSL 1.0.2-beta1 まで
■対策
アップデートする
開発者が提供する情報をもとに,最新版( OpenSSL 1.0.1g )へアップデートを行ってください.直ちにアップグレードできない場合のために,「 OPENSSL_NO_HEARTBEATS 」のフラグを有効にして再コンパイルする方法も紹介しています.
■関連文書
OpenSSL org.
OpenSSL Security Advisory:TLS heartbeat read overrun (CVE-2014-0160)
OpenSSL:The Open Source toolkit for SSL/TLS
cloudflare.com
Staying ahead of OpenSSL vulnerabilities
Related Information |
OpenSSL の脆弱性に関する注意喚起(JPCERT/CC) JVNVU#94401838 OpenSSL の heartbeat 拡張に情報漏えいの脆弱性(JVN) |
Inquiry |
TEL:075-753-7490(7490) E-mail:i-s-officeiimc.kyoto-u.ac.jp |