何百万もの最新のAndroidアプリ、ゲーム、音楽、映画、テレビ、本、雑誌などをお楽しみください。いつでも、どこでも、デバイス全体。
OpenSSLで非常に深刻な欠陥が発見されました。これは、オープンソースで非常に人気のある暗号化ライブラリであり、セキュリティの専門家の間でマイナー(今のところ)パニックを既に扇動しています。 OpenSSLプロジェクトによる新たにリリースされたセキュリティ速報によると、TLSのハートビート拡張機能の処理における境界チェックが欠落していることを使用して、接続されたクライアントまたはサーバーに最大64kのメモリを明らかにすることができます。
実際には、これにより、インターネットを保護するために使用されるSSL/TLS暗号化による保護された情報(通常の条件下)を盗むことができます。
SSL/TLSプロトコルは、Web、電子メール、インスタントメッセージング(IM)、いくつかの仮想プライベートネットワーク(VPN)などのアプリケーションにインターネット上の通信セキュリティとプライバシーを提供します。攻撃者は、秘密の鍵、ユーザー名とパスワード、インスタントメッセージ、電子メール、ビジネスの重要なドキュメントとコミュニケーションを盗むことができます。これはすべて、痕跡を残さずに。
これにより、欠陥(すでにエイリアス「ハートブグ」を受け取っている)が絶対に重要になるため、対策を迅速に行う必要があります。
これまでのところ、欠陥がどれほど広く搾取されていたかについて(まだ)言葉はありません。ただし、脆弱なOpenSSL 1.0.1は2012年3月にリリースされました。問題のセキュリティの欠陥について学んだ人は誰でも、TSL/SSL暗号化された通信を盗聴していた可能性があります。これにより、問題が潜在的にグローバルなものになります。OpenSSLは、ApacheやNginxなどの非常に人気のあるサーバーソフトウェアで使用されます。 Netcraftの2014年4月のWebサーバー調査によると、彼らの合計市場シェアは66%を超えており、あらゆる規模の企業で一般的に使用されています。
今日の時点で、脆弱なOpenSSLでパッケージ化されているため、多くのNIX*のようなオペレーティングシステムも影響を受けます。
Debian Wheezy(stable)、openssl 1.0.1e-2+deb7u4)
ubuntu 12.04.4 LTS、openSSL 1.0.1-4ubuntu5.11)
Centos 6.5、OpenSSL 1.0.1e-15)
Fedora 18、OpenSSL 1.0.1E-4
OpenBSD 5.3(OpenSSL 1.0.1C)□5.4(OpenSSL 1.0.1c)
FreeBSD 8.4(OpenSSL 1.0.1E)□9.1(OpenSSL 1.0.1c)
NetBSD 5.0.2(OpenSSL 1.0.1E)
opensuse12.2(opensSl 1.0.1c)
古いOpenSSLバージョンを備えたパッケージ - Debian Squeeze(Oldstable)、OpenSSL 0.9.8O-4Squeeze14、Suse Linux Enterprise Serverは、この欠陥はありません。
影響を受ける可能性のある当事者の中には、独立したソフトウェアベンダーとともに、オペレーティングシステムベンダーと配布、アプライアンスベンダーがあります。彼らは、ASAPの修正(OpenSSL 1.0.1g)を採用することを強くお勧めします。新しいシークレットキーと証明書も生成する必要があります。
サービスプロバイダーとユーザーは、使用するオペレーティングシステム、ネットワーク化されたアプライアンス、ソフトウェアで利用可能になるため、修正をインストールする必要があります。
CVE-2014-0160バグのホスト名でサーバーをテストできるオンラインツールはすでに導入されており、チェックアウトすることをお勧めします。
繰り返しになりますが、脆弱性を悪用した可能性のある攻撃者は、攻撃されたシステムにまったく痕跡を残さないため、誰かが実際に妥協したかどうかを学ぶ方法はありません。 OpenSSL 1.0.1から1.0.1Fを使用するすべてのビジネスは危険にさらされているため、今の唯一の合理的な行動は、このセキュリティの陥没穴をできるだけ早く差し込むことです。
展開
公開日時
サイズ
カテゴリ
営業所パッケージ名
