More Related Content
Heartbleed
- 2. Heartbleed とは? OpenSSL に存在していたバグ。 暗号化通信の内容が漏洩した可能性がある。 2014 年 4 月、 Google セキュリティーチームの ニール・メータ氏が発表。 あなたの秘密が世界中に バレているかも。。。
- 3. OpenSSL OSS の SSL ソフトの代表格。 多くの LinuxOS に プリインストールされている。
- 4. 流出した可能性のあるもの • SSL サイトでの入力内容( HTTPS ) • チャット内容( XMPP ) • メール本文( SMTP, POP and IMAP ) • VPN 通信内容( SSL VPNs ) などなど ※() 内は関連プロトコル
- 7. ハートビート 鼓動。 生存確認 ( )* に使う。 ( )* 対象サーバが正常に稼動していることを確認
- 8. ハートビート OpenSSL では、以下の手順で実現 ② コピーを返 却 ② 以下のように振舞う ・制限時間内に返さない ・コピーでないデータを返す ① データを送 る 通常時 異常時
- 9. バグ発生のメカニズム (正常ケース) 共有 DB 2 コマ、 ぼくのデータを 登録したよ じゃあ、 2 コマ、 コピーして返すね
- 10. バグ発生のメカニズム ( heartbleed 勃発!) 共有 DB 3 コマ、 俺様のデータを 登録したぞ じゃあ、 3 コマ、 コピーして返すね 他のひとのコマが含まれる!
- 11. 単純すぎるだろ!
- 13. サーバ管理者向け 以下のいずれかを実施 • OpenSSL のアップデート OpenSSL 1.0.1g 以降 • ハートビート機能の停止 -DOPENSSL_NO_HEARTBEATS
- 16. Fin.