CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば

必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして

[nekoruri]

ひとまず出てる情報埋め終えた

[azumi_s]

調査コストが頭痛いわ

[riocampos]

homebrewの場合は「brew update」して「brew upgrade openssl」で1.0.1gに更新されます。念のため「brew link openssl --force」でhomebrew側にリンク。

[ssids]

サーバなんかはある程度どうにかなるけど、問題はアプライアンスですよね・・・

[kenjiskywalker]

こういうこともあるからディスポーザブルな環境にしたい

[yahoocojp2]

あとで

[naga_sawa]

Heartbleed 問題まとめ

[yamadarts]

新しいバージョンのOSが安全とは限らない

[kisa_yoshi]

クライアントから問い合わせ来たのでご注意をば。結構騒がれてるらしいね。

[tanakaBox]

自分はアップデート完了。

[rch850]

失効方法がまとまってた

[syo68k]

クライアントサイドで脆弱性のあるバージョンが使われていた場合はどうなのか気になる

[okadatetsuya]

このまとめが良さそう。通信が第三者に漏れるのではなく、どちらかに悪意があった場合に他方の情報（同じプロセスのメモリ上にあるもの）が読み出せるという話のようだ。

[yusukesrv]

@rapirapi

[kamip]

ぐ

[tadahiko_kawana]

443開けてなくても影響あるのかな？

[yyamano]

“攻撃者がサーバ側の場合、HTTPSで外部のAPIサーバ等に接続したアプリケーションが、メモリ内にあるユーザー情報等が漏洩する。”

[tomity]

続報

[raitu]

「OpenSSL 1.0.1～1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも)」

[rryu]

対応済みパッケージのバージョン一覧があってすばらしい。

[PinkSweets]

わかりやすくてよい

[kyab]

日本語では一番情報多い感じ

[kuniharumaki]

一番分かりやすいまとめ。幸い祭りにならずにすんだが発表直後は背筋が凍った。

[AcidReflex]

影響があるのは1.0.1以降の系統で、それ以前の系統には関係ないとのこと。

[iga_k]

便利まとめ

[nghrk]

祭りだわっしょい

[clworld]

あうあう。

[kobake]

openssl

[itochan]

これはこわい

[Hash]

まとめ, 最新情報も更新されてく

[tmtms]

"英語だし長いしって人のために手短にまとめておきます" / ありがたい

[nharuki]

こえええええ・・・該当バージョンは即対処すべし

[t-wada]

CVE-2014-0160 OpenSSL Heartbleed 脆弱性の日本語によるまとめ

[longroof]

助かりますヽ(=´▽`=)ﾉ