4月7日月曜日、「Heartbleed」と呼ばれる主要な脆弱性が、アプリケーションやWebサーバーで広く使用されている人気のあるOpenSSL暗号化ライブラリで発見されました。したがって、インターネット上のサイトとサービスは、この脆弱性にパッチを適用し、SSL証明書を更新して顧客を保護することに忙しくしています。前述のように、OpenSSL v1.0.1から1.0.1f(両端を含む)は脆弱であり、2014年4月7日にリリースされたOpenSSL1.0.1gはこのバグを修正します。
Heartbleed.comからの抜粋によると,
Heartbleed Bugは、人気のあるOpenSSL暗号化ソフトウェアライブラリの深刻な脆弱性です。この弱点により、インターネットを保護するために使用されるSSL / TLS暗号化によって、通常の条件下で保護されている情報を盗むことができます。 SSL / TLSは、Web、電子メール、インスタントメッセージング(IM)、一部の仮想プライベートネットワーク(VPN)などのアプリケーションに、インターネットを介した通信セキュリティとプライバシーを提供します。
Heartbleedのバグにより、インターネット上の誰もが、脆弱なバージョンのOpenSSLソフトウェアによって保護されているシステムのメモリを読み取ることができます。これにより、攻撃者は通信を盗聴したり、サービスやユーザーから直接データを盗んだり、サービスやユーザーになりすましたりすることができます。
サイトまたはAndroidフォンがHeartbleedバグの影響を受けているかどうかを確認します –
情報を委託したサイトが脆弱であったか、まだ脆弱であるか、およびその証明書がいつ更新されたかを知ることができるサービスがいくつかあります。
Filippo ValsordaのHeartbleedテスト– filippo.io/Heartbleed
サーバーのHeartbleedをテストするためのURLまたはホスト名を入力します(CVE-2014-0160)。このようにポートを指定できます example.com:4433。デフォルトでは443。
LastPass Heartbleedチェッカー– lastpass.com/heartbleed
サイトがHeartbleedに対して脆弱かどうかを確認します。サイトのサーバーソフトウェアが表示され、脆弱かどうか、SSL証明書が安全であるかどうか、最後に作成されたのはいつかがわかります。
Chromebleed(Google Chrome拡張機能)
閲覧しているサイトがHeartbleedバグの影響を受けている場合に警告を表示します。 Filippoのサービスを使用してページのURLをチェックします。サイトを手動で確認したくない場合に便利です。
Mashableは、影響を受けたかどうか、パスワードを変更する必要があるかどうかなど、現在のステータスを示す有名なサイトの興味深いリストを作成しました。
Android用ハートブリード検出器–
Androidユーザーは、Lookout Mobile Securityの「HeartbleedDetector」と呼ばれる無料アプリを使用して、AndroidデバイスがHeartBleedのバグに対して脆弱かどうかを簡単に確認できます。アプリは、デバイスが使用しているOpenSSLのバージョンを判別します。デバイスが影響を受けるバージョンのOpenSSLのいずれかを実行している場合、デバイスは特定の脆弱な動作が有効になっているかどうかを確認します。
ただし、デバイスが脆弱である場合、パッチがGoogleまたはデバイスの製造元からリリースされない限り、実行できる必要なアクションはありません。
タグ:AndroidSecurity