先日、 OpenSSL の脆弱性(CVE-2014-0160, JVNU#94401838)が公開されました。
弊社におきましては、 4月8日に各サーバを確認し、脆弱性の対応を実施しております。
Heartbleed は、 OpenSSL という広く使われた暗号化ライブラリの Heartbeat という機能(死活監視のために外部の生存を通知する機能。ハートビート:心臓の鼓動から転じています)に存在したバグが原因です。
そのため ハートブリード、つまり、心臓出血という名称が付けられました。
この脆弱性を利用して攻撃すると、攻撃者は対象のサーバ上にあるメモリ内の情報の断片を取得することが可能です。
つまり、そのサーバで処理していた内容の一部が漏洩してしまいます。
さらに、主に次の点により、この問題が大きく取り上げられました。
- OpenSSL は非常に多くのサーバで利用されている( 50 万台の Web サーバが影響を受けるとされています)
- おそよ 2 年間、脆弱性が放置されていた
- 攻撃を受けたことの痕跡がない
- 攻撃ツールが比較的早く出回った
攻撃者が望むデータが必ずしもメモリ内に含まれているとは限らないため、比較的難易度が高いのですが、情報によっては、いとも簡単に取得できてしまうようです。
弊社では対応が完了しておりますが、未対応のサイトの場合は、対応されるまでご利用を控えたほうが良いです。
ご利用のサイトが今回の脆弱性に対応しているかどうかは、下記のサイトに URL を入力すると確認できます。
https://filippo.io/Heartbleed/
ご不明な点がございましたら、お気軽にお問い合わせください。
今後とも、弊社サービスをよろしくお願い致します。
0 件のコメント:
コメントを投稿