オンライサービスや製品のHeartBleed(CVE-2014-0160)の影響についてまとめてみた - piyolog
HeartBleedの影響についての情報のまとめです。(OpenSSL情報集約のページに書いていましたが量が増えてメンテナンスが大変になってきたため別記事としました。) 「影響あり」は特に記載無い限り、修正版の公開、または対応が済んでいます。随時更新・修正しています。piyokangoが勝手にまとめているだけですので、リスト掲載の情報だけを鵜呑みにせずリンク先の情報を確認してください。また掲載されていない情報があれば、@piyokangoまで教えて頂けると嬉しいです。 1. OS 対象名 CVE-2014-0160の影響 対象製品・バージョン Windows 影響なし − OSX 影響なし − Android ●影響あり(修正版提供時期不明) 4.1.1 iOS 影響なし − BlackBerry(smartphone) 影響なし − RHEL ●影響あり(日本語) 6.5,7 Beta
OpenSSLの脆弱性で初の被害、カナダや英国で発覚
カナダ歳入庁や英MumsnetはOpenSSLの脆弱性が発覚した直後に対応に乗り出したが、既に納税者情報やパスワードなどの情報が流出していた。 オープンソースのSSL/TLS実装「OpenSSL」に極めて重大な脆弱性が発覚した問題で、カナダ歳入庁は4月14日、何者かがこの脆弱性を悪用して、納税者約900人の社会保障番号を同庁のシステムから削除していたことが分かったと発表した。 また、育児情報サイトの英Mumsnetもこの問題を悪用され、ユーザーのアカウントに不正アクセスされていたことが分かったと発表した。OpenSSLの脆弱性は極めて広範に影響が及んでいるが、実際の被害が伝えられたのは初めて。 カナダ歳入庁の場合、4月8日に問題が発覚した時点でオンラインサービスを停止し、OpenSSLの脆弱性を修正。全システムの安全性を点検した上で13日にサービスを再開したが、この過程で納税者情報に対する
ハートブリード、原因は開発者のミス―「OpenSSL」は少数のボランティアに依存
This copy is for your personal, non-commercial use only. Distribution and use of this material are governed by our Subscriber Agreement and by copyright law. For non-personal use or to order multiple copies, please contact Dow Jones Reprints at 1-800-843-0008 or visit www.djreprints.com. http://jp.wsj.com/article/SB10001424052702303433504579501080000871574.html
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について
■Heartbleedのリスクと善後策 Heartbleedは、攻撃者が一定の条件を満たすOpenSSLが動作しているサーバの、任意位置のメモリを外部から読み出すことができてしまうという脆弱性です。具体的には、以下のようなリスクが想定されています。 秘密鍵の漏洩による、偽サイトの出現(あるいは中間者攻撃) 秘密鍵の漏洩により、(過去のものを含む)パケットキャプチャの解読 サーバの同一プロセスが行った処理に関連する(他のユーザーのパスワードやセッションキーを含む)データの漏洩 漏洩した秘密鍵を用いた攻撃には、ユーザーを偽サイトへ誘導できたり、パケットの経由点を管理しているなどの、経路上の要件が必要になります。他のユーザーのデータの漏洩については、経路上の要件は不要な一方、攻撃の実施に近いタイミングでサーバにアクセスしたユーザーのデータしか漏れない、という違いがあります。 どこまで対策を施すべ
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家:チェック方法まとめ オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大。専門家は「最悪のケース、つまり秘密鍵の漏えいを想定して対処すべき」と述べている。 オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大している。OSやクラウドサービス、ネットワーク機器の中には、脆弱性のあるOpenSSLを利用しているものが多数あり、ベンダー各社が確認・対応を進めている。国内でもこの脆弱性の影響を受けるサイトが確認されており、中には一時的にサービスを停止し、対処を優先したサービスもある。 この脆弱性は、OpenSSL バージョン1.0.1/1.0.2系に存在する。Heartbeat拡張の実装に見つか
OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた - piyolog
HeartBleed(CVE-2014-0160)関係のリンク集、自分のメモ用なので不正確です。 HeartBleedの影響対象となるOpenSSLバージョン 以下のバージョンが影響を受けます。但し、システムによっては原因となっているheartbeat機能が無効化されている場合もあるため、バージョンが一致しただけで当該脆弱性の影響を受けるかは確定しません。 (1) OpenSSL 1.0.1系 バージョン名 リリース時期 CVE-2014-0160 OpenSSL 1.0.1 2012/03/14 脆弱性あり OpenSSL 1.0.1a 2012/04/19 脆弱性あり OpenSSL 1.0.1b 2012/04/26 脆弱性あり OpenSSL 1.0.1c 2012/05/10 脆弱性あり OpenSSL 1.0.1d 2013/02/05 脆弱性あり OpenSSL 1.0.1e
インターネットの重大な問題が発覚。未対策サイトの利用はパスワード流出の恐れ!Heartbleed問題(林 信行) - 個人 - Yahoo!ニュース
インターネットで広く使われてる基礎技術に重大な欠陥が見つかりました。 長らく安全だろうと信じられ、さまざまなサービスをつくるのに広く使われていたOpenSSLという基礎技術が、「実は安全ではなかった」とが発覚したのです。 まだ、その方法で何か大きな被害などが報告されているわけではありませんが、数日前から欧米では大きな問題となりテレビや新聞でも報じられています。 これにより、画面上では「・」に置き換え表示されて他の人にわからないように思えるパスワードも含め、インターネット上の多くのやりとりが、傍受できる可能性が出てきました。 もちろん、既に解決策を見つけて対処をしているWebサイトも多数あります。 ちなみに米国ではmashableというブログが、この問題によってパスワードが漏洩する可能性があったWebサービスの一覧を公開しています: こうしたところでパスワードを盗まれると、今すぐには被害がで
RubyのOpenSSL::OPENSSL_VERSIONはなぜ定数?
本日ネットを震撼させているopensslの脆弱性。 OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性|TechCrunch Japan 私のMacbookAirにインストールしたrubyはHomebrewのopensslをリンクして いるので、状況を調べてみました。 [2014-01-25-2] の方法でrubyをビルドしているので、Homebrewのopensslを リンクしています。 $ otool -L ~/.rbenv/versions/2.1.0/lib/ruby/2.1.0/x86_64-darwin13.0/openssl.bundle /Users/masutaka/.rbenv/versions/2.1.0/lib/ruby/2.1.0/x86_64-darwin13.0/openssl.bundle: /usr/local/opt/openssl/l
Heart Bleedを読んだ - The first cry of Atom
int dtls1_process_heartbeat(SSL *s) { unsigned char *p = &s->s3->rrec.data[0], *pl; unsigned short hbtype; unsigned int payload; unsigned int padding = 16; /* Use minimum padding */ heartbeatという機能の詳しいことは調べられていないけれどどうやらクライアントーサーバ型の機能を提供するものらしい。 つまり何らかのリクエストを受け取ってレスポンスを返すようなサービスを提供するものらしい。dtls1_process_heartbeatで大事なのは ポインタpだ。これはリクエストデータを受け取って格納している。このリクエストデータは構造体になっていて、以下のように記述されている。 typedef struct
OpenSSLの脆弱性への対応方法(AWSサービス/OSごと) - サーバーワークスエンジニアブログ
こちらでは初めまして、大阪で孤軍奮闘中の桶谷です。<br /> 現在、話題になっているOpenSSLの脆弱性への対応方法をまとめてみました。 ※随時更新中。最終更新 2014/04/11 12:29 OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ http://www.itmedia.co.jp/enterprise/articles/1404/08/news038.htm こちらに今回の脆弱性についての説明動画があります http://vimeo.com/91425662 The Heartbleed Bug http://heartbleed.com/ 対応を行わないとクライアント/サーバ間の通信が悪意のある第三者に覗かれる恐れがあり、痕跡を残さずにトラフィックの内容、ユーザーID/パスワードなどが盗まれてしまう可能性があります。 AWSから公式見解はこちらで
OpenSSLのHeartbleed問題を解決する。CentOS 6.5編
『OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性』 http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/ 本日こちらの記事が話題になりました。 CentOSの対応状況については、本家のフォーラムが参考になります。 『heartbleed openssl bug, need 1.0.1g openssl version』 https://www.centos.org/forums/viewtopic.php?f=9&t=45814 日本語の情報だと、こちらが詳しいです。 『 CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ』 http://d.hatena.n
Test your server for Heartbleed (CVE-2014-0160)
If there are problems, head to the FAQ Results are now cached globally for up to 6 hours. Enter a URL or a hostname to test the server for CVE-2014-0160. This test has been discontinued in March 2019. You can use the open-source command line tool or the SSL Labs online test. All good, seems fixed or unaffected! Uh-oh, something went wrong: Check what it means at the FAQ. It might mean that the ser
CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
EC2インスタンスのOpenSSLのHeartbleed Bug対応 - Qiita
した後、依存しているサービスをリスタートしてOKです。 opensslのバージョンが1.0.1eになったままになっているけど、パッチは当たっているから大丈夫だよって書いてあります。 Versionのところがopenssl-1.0.1e-37.66.amzn1以上かだけチェックはした方が良さそうです。 The updated package is openssl-1.0.1e-37.66.amzn1 Please note that even though this package is still named openssl-1.0.1e, it does contain the patches that were made available upstream for CVE-2014-0160.
ネット上のサイトの約66%が使用するOpenSSLに重大なバグが発見される
By Nguyen Hung Vu インターネット上で標準的に利用される暗号通信プロトコルのSSL/TLSを実装したオープンソースのライブラリ「OpenSSL」に、SSL/TLSの暗号化によって保護されている情報が特殊な環境下でなくても盗まれてしまう脆弱性が発覚しました。 Heartbleed Bug http://heartbleed.com/ 「Heartbleed Bug」と名付けられた脆弱性は、OpenSSLの1.0.1から1.0.1fまでのバージョンで発見されたもので、脆弱性が悪用されると、これらのOpenSSLで保護されたシステムのメモリが誰でも閲覧できるようになります。メモリが閲覧されることによって、サービスプロバイダを識別しユーザーのトラフィック・名前・パスワードなどの情報を暗号化する秘密鍵が危険にさらされ、悪意のある攻撃者がサービスやユーザーから直接通信を傍受したり、デー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません(山本一郎) - 個人 - Yahoo!ニュース
くくく……OpenSSLがやられたか、の次に考えたこと - Qiita
TechCrunch | Startup and Technology News
