Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
BLOGTIMES
2014/04/09

OpenSSL の Heartbleed Bug に注意 (CVE-2014-0160)

  openvpn  ssl  rhel  centos  jpcertcc  cve 
このエントリーをはてなブックマークに追加

Heartbleed (CVE-2014-0160) Test - OpenSSL の Heartbleed Bug に注意 (CVE-2014-0160)

昨日から OpenSSL の Heartbleed Bug が騒ぎになっています。
この脆弱性は秘密鍵を盗まれる可能性がある深刻なもの*1*2なもののようです。

TLS heartbeat read overrun (CVE-2014-0160) OpenSSL Security Advisory [07 Apr 2014]

A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.
Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.

詳細については NVD や JVN 、JPCERT/CC などのアドバイザリにまとまっているので一読しておいた方がよいでしょう。

以下、個人用の作業メモ。

OpenSSL のバージョン確認方法

上記のとおりこの脆弱性は 1.0.1~1.0.1f と 1.0.2-beta1 に存在します。
OpenSSL のバージョンについては下記のような感じで確認できます。

$ openssl version OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

確認用のサービス

確認用のサービスもあるようですが、自分が管理者でないサーバに対しては絶対に試してはいけません

RHEL / CentOS への影響

さしあたり、OS としては RHEL や CentOS では 6.x 系統に影響があるようです。

OpenVPN への影響

OpenVPN についても Windows 版のアップデートがリリースされています。


トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/6637
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン