OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ

オープンソースのSSL／TLS実装ライブラリ「OpenSSL」に64Kバイトのメモリが露呈されてしまう脆弱性が発覚し、この問題を修正した「OpenSSL 1.0.1g」が4月7日に公開された。 OpenSSLのセキュリティ情報によると、脆弱性はTLS Heartbeat拡張の処理における境界チェックの不備に起因する。悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れがある。 この脆弱性は、OpenSSL 1.0.1fと1.0.2-beta1を含む1.0.1および1.0.2-betaリリースに存在しており、1.0.1gで修正された。直ちにアップグレードできない場合のために、「OPENSSL_NO_HEARTBEATS」のフラグを有効にして再コンパイルする方法も紹介している。 この問題についてOpenSSLを使ったサービスを提供しているセキュリティ企業のC

[hogege]

はうぅ～。リモートからも可能なのかなぁ…可能ならすっげえ大事な気がする……(´д｀)

[kyab]

4/8

[oyasai55]

ひぃ～やめてぇ

[riocampos2]

『脆弱性はTLS Heartbeat拡張の処理における境界チェックの不備に起因…最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れ』｜OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ

[rryu]

漏れる位置は状況次第って感じなのだろうか。

[okusa75]

手元のMac OSXのopenSSLは0.9.8yなんだが。。

[Akaza]

RHEL5はセーフ。RHEL6はerrata情報がでてる。

[kuniharumaki]

お、おう。。。

[you21979]

アプリの設計によらずにメモリぶっこ抜けたりするのかな？

[ka_ko_com]

OpenSSLアップグレードをするべきなのか …… OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ

[jt_noSke]

ワーオ

[kussun]

OpenSSL 1.0.1g で修正されたけど、影響大きそうだな。

[bigchu]

ssl / 1.0.1g か...やってねぇ

[madarax11]

OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ - ITmedia 総合記事一覧