【緊急:2014.04.08】インターネットの暗号化通信(SSLなど)に危険性が!OpenSSL Heartbleed 脆弱性が発覚

しばらくは個人情報やクレジットカード情報などの入力厳禁で

ホームページの閲覧、電子メールの送受信はすべてインターネットを通じて行われますが、近年サービスの向上もあり、そうした通信の重要な部分、例えば、ネットショッピング、IDやアカウント・パスワードによるログイン、個人情報入力、クレジットカード情報入力、ネットバンク利用などには暗号化通信が行われています。

本来、ユーザーを守るべきこの暗号化を司るサービス、わかりやすい例えでは「インターネット上で暗号化通信の機能を提供するサーバー上で動作するプログラム(の一部)=OpenSSL」に脆弱性(意図しない欠陥)があることが2014.04.08に判明しました。
これは「OpenSSL Heartbleed」バグと呼ばれ、本日、世界中で大騒ぎとなっています。
実に、二年近く発覚しなかったこの脆弱性 に、世界中のサーバー管理者がてんてこ舞いですが、一般のインターネット利用者もこのニュースだけは知っておくべきことがいくつかあります。

すべてのサーバーへの対策は、しばらく時間がかかることが予想されますので、対応の早い大手のサイトサービス以外へはしばらく近づかないことをおすすめします。
その理由は、サーバーサービスの欠陥をついて情報を奪取される可能性があるため、閲覧者側で対策できることがほとんどないためです。

サーバー技術者向けには以下のサイトのまとめがとてもわかりやすく参考になります。

CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ

http://d.hatena.ne.jp/nekoruri/20140408/heartbleed

サーバーアップデートの 一例

[CentOS-announce] CESA-2014:0376 Important CentOS 6 openssl Update

 http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html

CentOS Errata and Security Advisory 2014:0376 Important

Upstream details at : https://rhn.redhat.com/errata/RHSA-2014-0376.html

The following updated files have been uploaded and are currently 
syncing to the mirrors: ( sha256sum Filename ) 

i386:
6ceff4bad2608484b9b9ab74b8e9047b593b6b7a6ca5ba3cc16db7d8b447f1d8  openssl-1.0.1e-16.el6_5.7.i686.rpm
ef6c735885f24ca8618357b880e8cdc6fcb7c6895d99f740169684a3a6f0b8ba  openssl-devel-1.0.1e-16.el6_5.7.i686.rpm
5724d24708d8b62ee48585ea530d379c258a9dd537ce3d350a61af4489c11ea5  openssl-perl-1.0.1e-16.el6_5.7.i686.rpm
601108f27b4716355d972d70e8711b6ff53f4375962b3d6e81321736c6709b90  openssl-static-1.0.1e-16.el6_5.7.i686.rpm

x86_64:
6ceff4bad2608484b9b9ab74b8e9047b593b6b7a6ca5ba3cc16db7d8b447f1d8  openssl-1.0.1e-16.el6_5.7.i686.rpm
42cdc321aa3d46889c395c5d6dc11961ed86be5f4d98af0d6399d6c4e1233712  openssl-1.0.1e-16.el6_5.7.x86_64.rpm
ef6c735885f24ca8618357b880e8cdc6fcb7c6895d99f740169684a3a6f0b8ba  openssl-devel-1.0.1e-16.el6_5.7.i686.rpm
3328f32f211b2e136c25ec8538c768049f288f0b410932b31880fa4b4de8e73b  openssl-devel-1.0.1e-16.el6_5.7.x86_64.rpm
89cdbaed00f8348a6a6d567c6c1eb8aba9f94578653be475e826e24c51f10594  openssl-perl-1.0.1e-16.el6_5.7.x86_64.rpm
9222db08c5cbf4fded04fd7d060f5b91ed396665e2baa4c899fc2aa8aa9297d0  openssl-static-1.0.1e-16.el6_5.7.x86_64.rpm

Source:
3a08cda99f54b97c027ed32758e7b1ddcff635be5c3737c1e9084321561a015d  openssl-1.0.1e-16.el6_5.7.src.rpm



-- 
Karanbir Singh
CentOS Project { http://www.centos.org/ }
irc: z00dax, #centos at irc.freenode.net

 

↓ これを受けて対策

Installing package(s) with command yum -y install openssl ..
Loaded plugins: downloadonly, fastestmirror, security
Loading mirror speeds from cached hostfile
* epel: ftp.kddilabs.jp
Setting up Install Process
Resolving Dependencies
–> Running transaction check
—> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated
—> Package openssl.x86_64 0:1.0.1e-16.el6_5.7 will be an update
–> Finished Dependency Resolution

Dependencies Resolved

====================================
Package Arch Version Repository Size
====================================
Updating:
openssl x86_64 1.0.1e-16.el6_5.7 updates 1.5 M

Transaction Summary
====================================
Upgrade 1 Package(s)

Total download size: 1.5 M
Downloading Packages:
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : openssl-1.0.1e-16.el6_5.7.x86_64 1/2
Cleanup : openssl-1.0.1e-16.el6_5.4.x86_64 2/2
Verifying : openssl-1.0.1e-16.el6_5.7.x86_64 1/2
Verifying : openssl-1.0.1e-16.el6_5.4.x86_64 2/2

Updated:

Complete!
.. install complete.

«

»