Heartbleed Bugは、OpenSSLを攻撃に対して脆弱なままにします

OpenSSL内のバグにより、暗号化ソフトウェアライブラリによって保護されていると思われる暗号化データが詐欺師に公開されたままになっています。

この問題は、Googleセキュリティとコデノミコンの研究者チームによって発見されました。 「この弱点により、通常の条件下で、インターネットを保護するために使用されるSSL / TLS暗号化によって保護された情報を盗むことができます」と彼らは書いています。 彼らのウェブサイトで 。 「SSL / TLSは、Web、電子メール、インスタントメッセージング(IM)、一部の仮想プライベートネットワーク(VPN)などのアプリケーションに、インターネットを介した通信セキュリティとプライバシーを提供します。」



この脆弱性は、OpenSSLによるTLS / DTLS(トランスポート層セキュリティプロトコル)ハートビート拡張機能(RFC6520)の実装で発見されたため、HeartbleedBugと呼ばれています。

残念ながら、バグは新しいものではありません。 2011年12月にOpenSSLに導入され、2012年3月にバージョン1.0.1がリリースされて以来、実際に使用されています。修正版バージョン1.0.1gは月曜日にリリースされました。 OpenSSLのすべてのバージョンに影響するわけではありません-1.0.1から1.0.1fのみ(1.0.1g、1.0.0ブランチ、または0.9.8ブランチではありません)。

「脆弱なバージョンのOpenSSLが使用されている限り、悪用される可能性があります」と研究者は述べています。

問題を複雑にしているのは、エクスプロイトが追跡できないという事実です。 「私たちは痕跡を残さずに、外部から自分自身を攻撃しました」とチームは言いました。 「特権情報やクレデンシャルを使用せずに、X.509証明書、ユーザー名とパスワード、インスタントメッセージ、電子メール、ビジネスクリティカルなドキュメントと通信に使用される秘密鍵を自分たちから盗むことができました。」

「このバグにより、大量の秘密鍵やその他の秘密がインターネットに公開されたままになっています」と彼らは警告しました。 「長時間の露出、悪用のしやすさ、痕跡を残さない攻撃を考慮すると、この露出は真剣に受け止められるべきです。」

しかし、欠陥の修正を支援したGoogleのセキュリティ専門家であるAdam Langleyが指摘したように、結果はさまざまであるように見えます。

詳細については、SSLバグが安全な通信を脅かすを確認してください。

ハートブリードのバグについて説明している以下のビデオのGaronLiveもご覧ください。

推奨されます