OpenSSLの脆弱性(Heartbleed)の確認方法 [脆弱性]
もう対応終わってるサイトが多いとは思いますが、一応手順をさらってみます。
OpenSSLのheartbeat拡張に情報漏えいの脆弱性がありました。
脆弱性自体は結構昔からあって、2年くらい前から存在したようです。
そんな脆弱性を最近Googleのセキュリティ調査をしているNeel Mehtaさんが
発見したそうです。グッジョブ!
んなわけで注意喚起が行われたのですが、結構対象範囲が多いんですね。
とりあえず、opensslのバージョンが下記のものです。
OpenSSL 1.0.1 から 1.0.1f
OpenSSL 1.0.2-beta から 1.0.2-beta1
最新版の 1.0.1g や1.0.1未満は問題ないという話でした。
1.0.0は一部問題あるっていう話もあるので要注意ですが・・・
さて、httpsとしてSSL設置してるサイトでは簡単にチェックできるので、
下記サイトから試してみてください。
https://filippo.io/Heartbleed/
→アウト「○○○ IS VULNERABLE.」
https://lastpass.com/heartbleed/
→アウト「Was vulnerable: Possibly (known use OpenSSL, but might be using a safe version)」
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
→アウト「This site has the Heartbleed vulnerability.」
さて、皆さん大丈夫でしたでしょうか?
IDやパスワードなど抜かれている可能性が高いので変更したほうがいいです。
SSLに関しては下記フローで入れ替えてください。
1.OpenSSLのバージョンアップ・再コンパイル
2.秘密鍵・CSRの再作成
3.サーバ証明書の再発行
4.サーバ証明書の設定
5.再発行元のサーバ証明書の失効
失効手続きが自動でできないとこもあるので要注意ですね。
ちなみに、AndroidでもOpenSSL組み込んでるようなので、下記参考に
チェックを行ってみてください。
http://www.forest.impress.co.jp/docs/serial/androidlab/20140423_645722.html
結構めんどくさいですし、まだ対応終わってないサイトも多いようです。
すでに三菱UFJニコスがこの脆弱性で攻撃を受けて、情報漏えいしてます。
http://internet.watch.impress.co.jp/docs/news/20140421_645291.html
専用の啓蒙サイトも立ち上がってるので参照してみてください。
http://heartbleed.com/
スポンサーリンク
OpenSSLのheartbeat拡張に情報漏えいの脆弱性がありました。
脆弱性自体は結構昔からあって、2年くらい前から存在したようです。
そんな脆弱性を最近Googleのセキュリティ調査をしているNeel Mehtaさんが
発見したそうです。グッジョブ!
んなわけで注意喚起が行われたのですが、結構対象範囲が多いんですね。
とりあえず、opensslのバージョンが下記のものです。
OpenSSL 1.0.1 から 1.0.1f
OpenSSL 1.0.2-beta から 1.0.2-beta1
最新版の 1.0.1g や1.0.1未満は問題ないという話でした。
1.0.0は一部問題あるっていう話もあるので要注意ですが・・・
さて、httpsとしてSSL設置してるサイトでは簡単にチェックできるので、
下記サイトから試してみてください。
https://filippo.io/Heartbleed/
→アウト「○○○ IS VULNERABLE.」
https://lastpass.com/heartbleed/
→アウト「Was vulnerable: Possibly (known use OpenSSL, but might be using a safe version)」
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
→アウト「This site has the Heartbleed vulnerability.」
さて、皆さん大丈夫でしたでしょうか?
IDやパスワードなど抜かれている可能性が高いので変更したほうがいいです。
SSLに関しては下記フローで入れ替えてください。
1.OpenSSLのバージョンアップ・再コンパイル
2.秘密鍵・CSRの再作成
3.サーバ証明書の再発行
4.サーバ証明書の設定
5.再発行元のサーバ証明書の失効
失効手続きが自動でできないとこもあるので要注意ですね。
ちなみに、AndroidでもOpenSSL組み込んでるようなので、下記参考に
チェックを行ってみてください。
http://www.forest.impress.co.jp/docs/serial/androidlab/20140423_645722.html
結構めんどくさいですし、まだ対応終わってないサイトも多いようです。
すでに三菱UFJニコスがこの脆弱性で攻撃を受けて、情報漏えいしてます。
http://internet.watch.impress.co.jp/docs/news/20140421_645291.html
専用の啓蒙サイトも立ち上がってるので参照してみてください。
http://heartbleed.com/
スポンサーリンク
2014-05-02 18:35
nice!(0)
コメント(0)
トラックバック(0)
コメント 0