OpenSSLの脆弱性(Heartbleed)の確認方法 [脆弱性]
もう対応終わってるサイトが多いとは思いますが、一応手順をさらってみます。
OpenSSLのheartbeat拡張に情報漏えいの脆弱性がありました。
脆弱性自体は結構昔からあって、2年くらい前から存在したようです。
そんな脆弱性を最近Googleのセキュリティ調査をしているNeel Mehtaさんが
発見したそうです。グッジョブ!
んなわけで注意喚起が行われたのですが、結構対象範囲が多いんですね。
とりあえず、opensslのバージョンが下記のものです。
OpenSSL 1.0.1 から 1.0.1f
OpenSSL 1.0.2-beta から 1.0.2-beta1
最新版の 1.0.1g や1.0.1未満は問題ないという話でした。
1.0.0は一部問題あるっていう話もあるので要注意ですが・・・
さて、httpsとしてSSL設置してるサイトでは簡単にチェックできるので、
下記サイトから試してみてください。
https://filippo.io/Heartbleed/
→アウト「○○○ IS VULNERABLE.」
https://lastpass.com/heartbleed/
→アウト「Was vulnerable: Possibly (known use OpenSSL, but might be using a safe version)」
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
→アウト「This site has the Heartbleed vulnerability.」
さて、皆さん大丈夫でしたでしょうか?
IDやパスワードなど抜かれている可能性が高いので変更したほうがいいです。
SSLに関しては下記フローで入れ替えてください。
1.OpenSSLのバージョンアップ・再コンパイル
2.秘密鍵・CSRの再作成
3.サーバ証明書の再発行
4.サーバ証明書の設定
5.再発行元のサーバ証明書の失効
失効手続きが自動でできないとこもあるので要注意ですね。
ちなみに、AndroidでもOpenSSL組み込んでるようなので、下記参考に
チェックを行ってみてください。
http://www.forest.impress.co.jp/docs/serial/androidlab/20140423_645722.html
結構めんどくさいですし、まだ対応終わってないサイトも多いようです。
すでに三菱UFJニコスがこの脆弱性で攻撃を受けて、情報漏えいしてます。
http://internet.watch.impress.co.jp/docs/news/20140421_645291.html
専用の啓蒙サイトも立ち上がってるので参照してみてください。
http://heartbleed.com/
OpenSSLのheartbeat拡張に情報漏えいの脆弱性がありました。
脆弱性自体は結構昔からあって、2年くらい前から存在したようです。
そんな脆弱性を最近Googleのセキュリティ調査をしているNeel Mehtaさんが
発見したそうです。グッジョブ!
んなわけで注意喚起が行われたのですが、結構対象範囲が多いんですね。
とりあえず、opensslのバージョンが下記のものです。
OpenSSL 1.0.1 から 1.0.1f
OpenSSL 1.0.2-beta から 1.0.2-beta1
最新版の 1.0.1g や1.0.1未満は問題ないという話でした。
1.0.0は一部問題あるっていう話もあるので要注意ですが・・・
さて、httpsとしてSSL設置してるサイトでは簡単にチェックできるので、
下記サイトから試してみてください。
https://filippo.io/Heartbleed/
→アウト「○○○ IS VULNERABLE.」
https://lastpass.com/heartbleed/
→アウト「Was vulnerable: Possibly (known use OpenSSL, but might be using a safe version)」
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
→アウト「This site has the Heartbleed vulnerability.」
さて、皆さん大丈夫でしたでしょうか?
IDやパスワードなど抜かれている可能性が高いので変更したほうがいいです。
SSLに関しては下記フローで入れ替えてください。
1.OpenSSLのバージョンアップ・再コンパイル
2.秘密鍵・CSRの再作成
3.サーバ証明書の再発行
4.サーバ証明書の設定
5.再発行元のサーバ証明書の失効
失効手続きが自動でできないとこもあるので要注意ですね。
ちなみに、AndroidでもOpenSSL組み込んでるようなので、下記参考に
チェックを行ってみてください。
http://www.forest.impress.co.jp/docs/serial/androidlab/20140423_645722.html
結構めんどくさいですし、まだ対応終わってないサイトも多いようです。
すでに三菱UFJニコスがこの脆弱性で攻撃を受けて、情報漏えいしてます。
http://internet.watch.impress.co.jp/docs/news/20140421_645291.html
専用の啓蒙サイトも立ち上がってるので参照してみてください。
http://heartbleed.com/
マイクロソフトのIEに対する脆弱性対策 [脆弱性]
先日(2014/4/27)にマイクロソフトのInternet Explorer(通称IE)に脆弱性があると発表されました。
しかも、その脆弱性には対応策がないということで、多くの企業ではIEの使用禁止令が出ました。
通常、マイクロソフトでは定例パッチと言って、月に一回まとめて脆弱性パッチを配布しています。
しかし、今回は相当シビアだったこともあり、本日WindowsUpdateでパッチが配布されました。
自動更新にしている方は、今日修正プログラムが適用されたことと思います。
自動にしていない方は、ぜひWindowsUpdateを行ってください。
対象は、IE6~IE11と、Windowsを使用しているすべての方と言ってよいと思います。
今回限りだとは思いますが、サポートの切れたWindowsXPに対しても配布されるそうです。
さて、今回の脆弱性ですが、どのようなものだったのか、ざっとさらってみましょう。
JVNによると、危険性は10.0でマックスです。
脆弱性の内容としては、
「解放済みメモリ使用 (use-after-free) の脆弱性」
とのことです。
想定される影響ですが、
「細工された HTML ドキュメントを閲覧することで、任意のコードを実行される可能性がある」
とのことでした。
要は、普通にインターネットをIEで閲覧するだけで危険だよってことだったのですね。
WindowsUpdateしたから安心ではなく、怪しいサイトにアクセスしないなど気をつけましょう。
しかも、その脆弱性には対応策がないということで、多くの企業ではIEの使用禁止令が出ました。
通常、マイクロソフトでは定例パッチと言って、月に一回まとめて脆弱性パッチを配布しています。
しかし、今回は相当シビアだったこともあり、本日WindowsUpdateでパッチが配布されました。
自動更新にしている方は、今日修正プログラムが適用されたことと思います。
自動にしていない方は、ぜひWindowsUpdateを行ってください。
対象は、IE6~IE11と、Windowsを使用しているすべての方と言ってよいと思います。
今回限りだとは思いますが、サポートの切れたWindowsXPに対しても配布されるそうです。
さて、今回の脆弱性ですが、どのようなものだったのか、ざっとさらってみましょう。
JVNによると、危険性は10.0でマックスです。
脆弱性の内容としては、
「解放済みメモリ使用 (use-after-free) の脆弱性」
とのことです。
想定される影響ですが、
「細工された HTML ドキュメントを閲覧することで、任意のコードを実行される可能性がある」
とのことでした。
要は、普通にインターネットをIEで閲覧するだけで危険だよってことだったのですね。
WindowsUpdateしたから安心ではなく、怪しいサイトにアクセスしないなど気をつけましょう。
