2014/04/08

Heartbleed の対応ついて


先日、 OpenSSL の脆弱性(CVE-2014-0160, JVNU#94401838)が公開されました。

弊社におきましては、 4月8日に各サーバを確認し、脆弱性の対応を実施しております。

Heartbleed は、 OpenSSL という広く使われた暗号化ライブラリの Heartbeat という機能(死活監視のために外部の生存を通知する機能。ハートビート:心臓の鼓動から転じています)に存在したバグが原因です。
そのため ハートブリード、つまり、心臓出血という名称が付けられました。

この脆弱性を利用して攻撃すると、攻撃者は対象のサーバ上にあるメモリ内の情報の断片を取得することが可能です。
つまり、そのサーバで処理していた内容の一部が漏洩してしまいます。

さらに、主に次の点により、この問題が大きく取り上げられました。
  • OpenSSL は非常に多くのサーバで利用されている( 50 万台の Web サーバが影響を受けるとされています)
  • おそよ 2 年間、脆弱性が放置されていた
  • 攻撃を受けたことの痕跡がない
  • 攻撃ツールが比較的早く出回った

攻撃者が望むデータが必ずしもメモリ内に含まれているとは限らないため、比較的難易度が高いのですが、情報によっては、いとも簡単に取得できてしまうようです。

弊社では対応が完了しておりますが、未対応のサイトの場合は、対応されるまでご利用を控えたほうが良いです。

ご利用のサイトが今回の脆弱性に対応しているかどうかは、下記のサイトに URL を入力すると確認できます。

https://filippo.io/Heartbleed/


ご不明な点がございましたら、お気軽にお問い合わせください。

今後とも、弊社サービスをよろしくお願い致します。

0 件のコメント:

コメントを投稿