More Related Content
More from deflis
Recently uploaded
Recently uploaded (7)
Heartbleed脆弱性について
- 2. Heartbleed Bug とは • OpenSSL 現行安定版 1.0.1~1.0.1f までに存在するTLS Heartbeat拡 張の脆弱性 • CVE-2014-0160 • 2012年3月14日リリース • 正式リリースから丸2年間も放置されたバグ • サーバだけでなくクライアントも被害を受ける可能性がある。
- 3. 脆弱性の詳細 • SSL通信をしている相手マシンのプロセスのメモリを閲覧するこ とができる。 • 怪しい動作をした痕跡は全く残らない。SSL通信を確立させる必 要すらない。 • OpenSSLを使ってSSL通信をするすべてのアプリケーションがこ のバグの影響を受ける可能性がある。
- 4. 何がまずいのか? • メモリ上にあるSSLの証明書(秘密鍵)にアクセスができる。 • SSLの秘密鍵があるならば、サーバのなりすましが可能になる。 • 同一プロセスのOpenSSL以外のアプリケーションのメモリにア クセスできる。 • Apache+mod_phpの場合、PHPアプリも同一プロセスなので特に危険 • 例)Webアプリのユーザーのパスワード検証時のパスワード
- 5. 影響のあるアプリケーション • SSL通信を行うもの、かつOpenSSLを使っているもの。 • Apache • cURL • OpenVPN • Android 4.1.1
- 6. 影響のないアプリケーション • MS製品 • IE/Firefox/Chrome/Safariなどの主要ブラウザ(Android版含む) • OpenSSH(名前にてるけど無関係) • OpenSSL使ってるけどSSL通信はしていないアプリ
- 8. 影響のなかったサイト • Microsoft • Hotmailやマイクロソフトアカウントなどのユーザー認証系を含む。 • Amazon • Evernote • PayPal • アメリカの銀行のオンラインバンキング(ほとんどすべて影響 がないらしい)
- 9. 影響があったサイト (パスワード変えましょう) • Google/Gmail • Facebook • Dropbox • Tumblr • Minecraft • SoundCloud • LastPass
- 10. 参考文献 • Heartbleed Bug • http://heartbleed.com/ • CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば • http://d.hatena.ne.jp/nekoruri/20140408/heartbleed • The Heartbleed Hit List: The Passwords You Need to Change Right Now • 意訳:Heartbleedだったのでパスワードを変えるべきサイトまとめ • http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/