OpenSSLに欠陥だってよ

ソースはNHK

なんだおまぇもか

はよ統一球スレ

ｋｗｓｋ

マジヤバ

おせーよ

おいおい

●で抜かれてからもうどうでもよくなった

アマゾンや楽天使った事あるけどアウト？

http://wired.jp/2014/04/10/heartbleed/

Gmail、YouTubeにも影響。壊滅的なOpenSSLの脆弱性、「Heartbleed」問題とは « WIRED.jp
http://wired.jp/2014/04/10/heartbleed/

Heartbleedは、ここ数年で最悪のバグと言われている。
著名なセキュリティ−専門家のブルース・シュナイアーは
4月8日付けのブログ記事で、「壊滅的（カタストロフィック）
という言葉が適切だ。1から10で評価するならこれは11だ」と書いている。

知ってた

対策終わってから発表しろといいたいところだがもう実害が出てるのかな

例えると福島原発なみってことか

ただちに影響は出ないから安心という事か

素数の解析は実はもう出来てると結構前から言われてたのと何か関係ある？

とりあえずすべてのパスワードを変えておいたほうが良さそうだな

ChromeでTwitter見られなくなったんだけど関係ある？

password is ？

どういうこと？

難しい
三行で頼む

Gmailに影響って何だよ

ゼロ
ゼロ
ゼロ　セキュリティ is ゼロ

こういうコンピューター関連の問題見るたびに馬鹿じゃなかろうかと思うわ
頭いいつもりの奴らがドヤ顔でやってることの結果が穴だらけとか

い
ま
さら？

いままでにSSLで通信したものがすべてダダ漏れになったということ

結局ＸＰだからどうとか関係ないって事ですか

>>17
パスワードを変えたあとに情報漏えいが発生するかもってよ

すべての穴が塞げるというのは幻想

https？

そうだね

エイプリルフール？

ある種のIT企業の社員の残業が増えたりするの？

自前で暗号化して複合したのをデータベースに入れないといけなくなるってこと？

プログラムの穴なんてなくならんよ
発見されるかされないかだけ

XPがどうとかかんけーねージャン
騒いでたやつ馬鹿みてえだな

今通信ログとられてるから対策してないサイトでパスワード変更したらアウトだな

ぶっちゃけこっちはどうしようもないんでしょ？

おれ大事なデータはZIPでメールしてるから大丈夫だな

>>30
HTTPS=HTTP+SSL

パンピーはそんな関係ないでしょ

サイトが乗っ取られてなきゃいいんでしょ？

これまでSSLにいくら金払ったと思ってんだ返せ馬鹿野郎

正直ここ数年で狼で見たスレタイで一番の衝撃だった
今も心臓バクバクいってる

あー
HTTPSでも何を買ったかモロバレってわけか

だからといってネットショッピングやネットバンキングは止まらないわな

httpsにしただけでそんなにセキュリティー上がるもんなの？

そんな事より

ソニー製ノートPC「VAIO Fit 11A」のバッテリに不具合、本体焼損の恐れ（マイナビニュース） - Y!ニュース http://headlines.yahoo.co.jp/hl?a=20140411-00000099-mycomj-sci

タイムリーだな
これはパスゼロが大売れする

一秒でも早くXPの使用中止しないと大変な事になるな

金銭的なことに関して言えばキャッシュカードの番号を変えるくらい？
信用情報はもうどうしようもないという

アマゾンの購買履歴がすべてダダ漏れってことか？

>>44
どうした落ち着けよ

結局穴を使えばメモリの上の生データを引っ張ってこれるってこと？
SSL自体は破られてない？

さっきログインしたけど
ドラクエのパスワード盗られたのか

毎度思うんだけど金持ちって余裕ないよな

記事を読んでるとDBに不正にログインしてデータを引っこ抜くんじゃなくて
たまたま運が悪かった人たちのメモリの上の情報が引っこ抜かれるように思えるんだけど

とりあえずクレカの番号入れない方がいいんだな

記憶されてるじゃないカード

顧客情報ほとんどhttpsで変更させてるんだけど
ダダ漏れってことでいいのかな

インターネット終わったwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww

自動ログインのはクッキーだから大丈夫なの？

娘。の個別3次の決済できないじゃん

原発の炉心にテロリストが忍び込んで
メルトダウン起こした感じ？

3日前ぐらいから大々にアナウンスされてるのに
今さら騒いでる奴は落ち着いて

会員情報変更とか今やったら終わるってことでいいのかな
これが発覚する前に登録したのは大丈夫で

全部同じパスワードにしてるわ
漏れまくりだわ

おれamazonでハロプロCD買ったぐらいだからべつに漏れてもいいわ

そう
サーバの中から抜かれるわけじゃない
通信を傍受されるようなイメージ
ただ脆弱性を知っていた人間はどこかのサービスで待ち構えていて
かなりの通信を傍受した可能性はある

これ銀行口座から金引き落としまくりじゃね？

httpsにするだけでそんなに変わるもんなのか

XPの買い替えで小賢しい金儲けをしたからハッカーさんが怒っちゃったんだね

何が起きているの

OpenSSLに脆弱性があり、SSLで通信している相手のメモリを閲覧できます。

具体的には、以下のようなシナリオが考えられます。

? 攻撃者がクライアント側の場合、 HTTPSサーバのSSL証明書の秘密鍵が漏洩する。
? 攻撃者がクライアント側の場合、 HTTPSサーバのプロセス内にあるユーザー情報が漏洩する。特にApache+mod_php5のコンボでは、ウェブアプリ内の全ての情報が見られる可能性がある。
? 攻撃者がサーバ側の場合、HTTPSで外部のAPIサーバ等に接続したアプリケーションが、メモリ内にあるユーザー情報等が漏洩する。
? 04/08 22:34追記: そもそもハンドシェークフェーズなので証明書の検証は無関係でした。DNS毒入れ等の併用で攻撃者のSSLサーバに接続させられてしまえば無条件でやられます。

? 攻撃された記録は一切残らない。安全側に倒すならば、脆弱性のあるバージョンをインターネットに公開していたら攻略されたとみなす方が良い。

ぎゃああああああああああああああああああああああああああ

>>73
>>攻撃者がクライアント側の場合、 HTTPSサーバのプロセス内にあるユーザー情報が漏洩する。特にApache+mod_php5のコンボでは、ウェブアプリ内の全ての情報が見られる可能性がある。

終わったわ
php4に移行すればいいのかな

これしゃれになってないだろ

>>66
>Heartbleedの存在が公表されたのは今週だが、この脆弱性を抱えたOpenSSLは2012年から使われていた（攻撃を受けたとしても痕跡は残らない）。

風俗でカード使ったことが漏れませんように

cgi版のphp5に移行すればいいんじゃね

鯖屋さんは土日無しか
可哀想に

今も漏れ続けてるのか

インターネット終わり？完？

●流出で書き込みと個人情報がヒモづけさせられた事に比べれば

http://www.jpcert.or.jp/at/2014/at140013.html

4/11追記大杉ｗ
デカイところの対処が終るまで秘匿してたのかな？ｗ

>脆弱でないサイトもある。Open SSLをバグの多い2012年バージョンに
>アップデートしなかったサイトや、「Google」や「Cloudflare」のように、
>脆弱性が公開される前の4月7日に修正を行うことができたサイトだ。

アップデートしないほうが安全なら新しいバージョンを作る意味って何？

対策終わるまで一応取引控えて漏れないでくれーって祈るしかないのか
一般利用者は

オープンにしてる時点で脆弱です知らんけど

これどうにもならんよね
phpMyAdminとかも普通に入れちゃって
顧客情報まるごと持ってかれちゃうよ

/* Enter response type, length and copy payload */
*bp++ = TLS1_HB_RESPONSE;
s2n(payload, bp);
memcpy(bp, pl, payload);

404出して

OpenSSL 1.0.1 から 1.0.1f - OpenSSL 1.0.2-beta から 1.0.2-beta1　＋ php5って出たら死亡か？

うちのは1.0.1より前だからほっといていいのかな
ユーザーとしてはどうにもならんな

phpMyAdminって暗号かけてないサーバ多いよななぜか

Open SSLなんて普通は最新版にアップデートするだろ
phpとかなら最新バージョンにせず様子見するけど

3日前の話題だな
すでに全ツールバージョンうｐ済

>>85
Googleは大丈夫なの？
Gmail危ないってのは無くなった？

こんな糞ライブラリ使ってないXPがド安定だな

>>94
やっぱデカイ所の対策済みを待ってからの一般報道か
マスコミの知らせない権利すげーなｗ

最新版に更新すれば大丈夫ってこと？

>>97
手動でのバージョンうｐな
公式にうｐ版出してる所は少ないんじゃね

xpにダウングレードすればいいの？ｗ

インターネットって恐ろしいな

セキュリティソフト系はたぶんほぼ確実に入ってるから確認しといたほうがいいぞ

今の所変更しておいた方が良いのはこれだけ？

企業アカウント
パスワードを変更するべきサービス
Google
Yahoo

メールサービス
パスワードを変更するべきサービス
Gmail
Yahoo Mail

ソーシャルネットワーク
パスワードを変更するべきか不明なサービス
Twitter

一般じゃない人ってどういう人？

エンジニア

今パスワード変更して大丈夫なの？

変更して大丈夫かどうかは分からんな
サービス提供側が該当バージョンを使ってましたバージョンアップ終わりましたって
発表するとは思えないしな

最新版でもほぼ全滅じゃね？
これ

1.0.2betaの最新機能とか使ってたらどうすんだろ？

https://www.openssl.org/
Date Newsflash
07-Apr-2014: Security Advisory: Heartbeat overflow issue.
07-Apr-2014: OpenSSL 1.0.1g is now available, including bug and security fixes
24-Feb-2014: Beta 1 of OpenSSL 1.0.2 is now available, please test it now
06-Jan-2014: OpenSSL 1.0.0l is now available, including bug and security fixes
06-Jan-2014: OpenSSL 1.0.1f is now available, including bug and security fixes
more...

II. 対象

以下のバージョンが本脆弱性の影響を受けます。

- OpenSSL 1.0.1 から 1.0.1f
- OpenSSL 1.0.2-beta から 1.0.2-beta1

くさったC言語なんか使ってるからこんなことになる
カーニハンリッチー死ね

これな

> 以下のバージョンが本脆弱性の影響を受けます。
> - OpenSSL 1.0.1 から 1.0.1f
> - OpenSSL 1.0.2-beta から 1.0.2-beta1

対象のライブラリを使用していた場合は
http://indy.fulgan.com/SSL/openssl-1.0.1g-i386-win32.zip　を
ダウンロードしてDLLを上書き。

つうかヤフーの不正アクセスはこれ関係あるのかな

リッチーは逝ったよ

今変えたらいけないとかないの？

漏れたかどうか悪用されるまで確認できないから
どうしょうもないよね
今パスワード変えたらその情報取られるかもしれんし

>>110をパソコンでする奴続出のよ感ｗ

>>115
一番行われてたのは二日前かな

インターネットオワタwwwwwwwwwwwwwwwwwwwwwwwwww

http://internet.watch.impress.co.jp/img/iw/docs/644/031/html/atp.png.html

LinuxってOpenSSLは勝手に入ってるんじゃなかったっけ

アメリカの情報をもってロシアにいるあつが言うには
こういった暗号化にはアメリカ政府が全てバックドア作ってると言ってたからな

そうだよ。オープンソースは危すぎ。なんだかんだいって一番信頼出来るのはXP

それでXPはどうなんだ？

ちょっと押し入れからXP機引っ張り出してくるわ

ttps://raw.githubusercontent.com/musalbas/heartbleed-masstest/master/top10000-09-Apr-14-2300UTC.txt

http://gendai.ismedia.jp/articles/-/38910?page=2
>冒頭のニューヨーク･タイムズ記事によれば、今回のバグは
>約2年間放置されていたため、一部のハッカーはこれを既に知っている公算が高いという。

>焦ってパスワード変更するのはむしろ危険
>従ってインターネット･ユーザーは、重要なウエブ･サイトのパスワードなどは
>変更した方がいいようだ。ただしセキュリティ専門家の多くは、
>それを今すぐ焦ってやらない方がいいと見ている。
>と言うのも、バグを修正するのには数日かかるため、現時点ではまだ、
>その作業が完了していないかもしれないからだ。
>その段階でパスワードを変えてしまえば、今度はそれが盗まれる可能性がある。

XPでもインターネット使って個人情報入力したら終わりだよ
サーバー側の問題だから利用者はネットで個人情報使わないようにするしかない

ふっかつの呪文を盗まれた

これ今まで仕事で作ったサイト全部対応しなきゃいけないの？
サーバー借りてLAMP入れてそのまま放置してるんだけど

対応してないサイトかどうかって見分けられないし
マジで終わったな

ウェブ暗号化ソフトに重大なバグ、個人情報流出の恐れ （ロイター） - Yahoo!ニュース
ttp://headlines.yahoo.co.jp/hl?a=20140410-00000098-reut-bus_all

OpenSSL脆弱性にベンダーが状況公開、影響システムを探る動きも （ITmedia エンタープライズ） - Yahoo!ニュース
ttp://headlines.yahoo.co.jp/hl?a=20140410-00000047-zdn_ep-sci

SSLを使っててそれがOpenSSLでなおかつ2012年バージョンを使ってればそうだろうな
それ以前のもののほうが安全だというのであれば新しいバージョンを作る意味は分からんが

>>124
vulnerableの意味や和訳。 【形容詞】1a〈要塞(ようさい)など〉攻撃されやすい.

いろいろリンク貼られても怖くて踏めなくなった

http://headlines.yahoo.co.jp/hl?a=20140410-00000047-zdn_ep-sci
>AppleのOS X Mavericks（10.9）のデフォルトのOpenSSLは、脆弱性が存在しないバージョン0.9.8だという。

新バージョンなんて必要なかったんや！

httpはそもそも関係ないからw

残高が増えてくれると嬉しい

これもヤバイ

空港だけじゃなかった！東京駅に新大阪駅もgoogleが設計書流出！！
http://maguro.2ch.net/test/read.cgi/poverty/1397207363/

ユーザーは何もしなくていいんでしょ
サーバー屋は対応に追われて悲惨な状況だろうけど

意味わからんお

問題内容についてはこの記事がわかりやすかった
http://www.tiger1997.jp/report/activity/securityreport_20140410.html

いつだか素数のスレが立っていたと思うけどそれも関係あるの？

OpenSSLなんてほとんどのサイトで使ってるのに

尼でオナホ買った奴ざまあｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

>>140
ようは運次第ってわけだな

昨日のどころかおとついのニュースを今更

今すぐパスワード変更を―セキュリティー脅かす「Heartbleed」 - WSJ.com
ttp://jp.wsj.com/article/SB10001424052702303373904579492623865487460.html

主なウェブ企業は問題の是正措置を講じている。
自分の利用しているサイトがセキュリティーを更新しているかどうかを確認するには
ttps://www.ssllabs.com/ssltest
にアクセスし、「Domain name」ボックスにサイトのドメイン名を入力すればいい。

全てが緑で表示されれば恐らくバグは修正されているので、パスワードを変更しても問題ない。
そうでなければ、待つべきだ。
バグが修正されていないサイトでパスワードを変更しても意味がなく、新しいパスワードが危険にさらされる可能性がある。

何か思ってたよりもやばいな
ネット通販は壊滅的だわ

脆弱性は最新バージョンだけなので
枯れたシステム使ってれば大丈夫

NSA＜俺は知ってた

>>129
ネットエージェントっていう会社が対象サイトをチェックできるWEBページつくってくれてる
gmailと自鯖（ryは大丈夫だった

>>143
amazon.co.jp... not vulnerable.

ここまで大規模に影響する事だと
何にもやる気しねえなあ

uint16 payload_length;

これをデカくすればいいのか？

取引の多いサイトならヒープから追い出す間隔が短いからまだマシなんだな

フリーソフトじゃ文句も言えんしなあw

自前でサーバー持ってなければ
サーバー屋さんが対応してくれるまで待つしかないか

でも大体最新版使ってたりするよな

とりあえず何すればいいの？

新しくサーバを立てたときにはそのときの最新版を使うことが多いだろうけど
そうでなければ古いバージョンにセキュリティパッチを当てて使うことが多いだろ
例えば何年も前に立てたようなサーバなら無理に1.0.1を入れ直すんじゃなくて0.9.8系のままパッチを当て続ける
そういうふうに別系列で動き続けるイメージだよ

SSL安心じゃなかったのかよ

httpsよりもhttpの方が安全だったってこと？

>>161
それはない

2年前から漏れてたんだったら
今さらどうしょうもなくないか？

攻撃されたかどうかを発見する方法はありますか？

Apacheのログには残りません。全通信をパケットキャプチャされているのであれば専門家に依頼して分析できます。


IISなら問題無しか

>>164
そりゃそうだわなｗ

マイクロソフト製品なら自前でSSL機能持ってるから今回のは無関係

Windowsサーバーなんて高くて使えない

さすがMS
信頼できる企業だな

何やってんだよ
はやくCloseしろよ

結局貧乏が悪いって流れっすか

>>146のサイトでチェックしたら Grade B だったんだけどまずいのかな

セキュリティ技術なのにOpenでええんかいな

アップルもSSLでやらかしてたろ

やっぱサーバはＭＳがいいのか

大手が大丈夫なら意外と平気なんじゃね？

google.yahoo.twitterなんかは大丈夫かな？

twitterがヤバイと民が発狂しちゃうぞ

XPから7に変えといて良かったわ

素数を使った暗号もコンピュータの性能が上がりすぎて前提が崩壊しかけてるからな

“Heartbleed”と呼ばれるバグによって、深刻な脆弱性が約2年にわたって存在していたことが発覚したオープンソースのSSL/TLSライブラリ「OpenSSL」。
暗号化された通信の内容や秘密鍵などの情報を第三者が取得可能だったという脆弱性の公表とともに、
OpenSSL Projectからは修正バージョンも公開されており、すでに対処済みのサイトもある。

HTTPSを使っているサイトに限れば、全17万4336サイトのうち8632サイトが脆弱だったとしており、比率は30％となる。
TLD別に見ると「.kr」「.jp」「.ru」「.cn」「.gov」という順で、脆弱なサイトの比率が高かった。
例えば「.kr」では56％に上り、102サイトのうち57サイトが脆弱だったという。「.jp」は45％で、1195サイトのうちの534サイトが脆弱とされている。
http://internet.watch.impress.co.jp/docs/news/20140411_644056.html

2014年4月11日現在、脆弱性「CVE-2014-0160」の影響を受けた Webサイトが全体の約 5% であることを確認しています。
脆弱性を抱える Webサイトの割合が最大の TDL は、「.KR」と「.JP」でした。興味深いことに、
米国の連邦政府機関のための TLD である「.GOV」を使う Webサイトは、図1 のリストの第 5位に順位を付けています。
http://blog.trendmicro.co.jp/wp-content/uploads/2014/04/b20140411bcomment01.jpg

これはまじめにセキュリティ更新をした企業が馬鹿を見たということだなｗ

linuxサーバを立ててる人は openssl のアップデートをしとけばいいの？

へんなメールきてた

秘密鍵の漏洩は非常にまずいなw
作るときは適当に作るけどｗ

安全じゃなかったのかよ

最新版にするなってことはWindowsも8はヤバイというハッカーからのメッセージだな

Windowsの最新版は8.1updateだぞ

あ

Ubuntuは最新版にすればいいみたいだな
http://www.digitaltrends.com/computing/how-to-update-ubuntu-plug-heartbleed-openssl-flaw/#!DBJG3

インターネットで盗聴してるようなアメリカが自分たちに解けない暗号を許すわけないじゃん

あ

フリーソフトのフォルダとかにssleay32.dllかlibeay32.dllがあったらアウト

>>192
知ったか乙
バージョン見てからもの言え

C:\Program Files (x86)検索したらけっこうあるな

結局パスワードはいつ変えた方がいいんだ

とりあえずFFFTP更新した
あとnPOPQのdllを1.0.1gに上書きして寝る

　　　　　　llllllllllllll
　 　 　 lllllｌll　　 lllllllll
　 　 lllllllll　 　　　 llllllllll
　　lllllllll　 　 　 　　 　llllllllll　　　　　　llllllllllllllllllllllllllllllllllllllllllllllllllllll
　llllllll　 　 　 　　　 　　　llllllllllllll
llllllllll　　　　　　　　　　　　　llllllllllllllｌｌ


　　　　　 　∧＿∧　　∧＿∧　　∧＿∧　∧＿∧
　　　　　　（´･∀･`）　（´･∀･`） （´･∀･`）（´･∀･`）
　　　　　 ∧＿∧　）∧＿∧　）∧＿∧　）∧＿∧ ）
　　　　　（´･∀･`） （´･∀･`） （´･∀･`） （´･∀･`）
　　　∧＿∧　　∧＿∧　　∧＿∧ 　∧＿∧　 ）
　　（´･∀･`）　（´･∀･`）　（´･∀･`） （´･∀･`）／|
　　（＿＿__） 　（＿＿__）　（＿＿__）　（＿＿__）
／　　　.／|.／　　　／|.／　　　／|／　　　／|
|￣￣￣|／|￣￣￣|／|￣￣￣|／|￣￣￣|／|
||￣￣￣||　||￣￣￣|| ||￣￣￣|| ||￣￣￣||

あ

ffftpにも影響あんの？

200

上げろ

>>192

大惨事だな

SSL Report: shopweb.ponycanyon.co.jp (222.230.186.76)
This server is not vulnerable to the Heartbleed attack. (Experimental)
助かった…

>>172
どちらとも言えない
オープンソースだから多くの人のチェックがかかるという利点もあるし
非公開だからこそ見つからないバグもあるし

これはもう脆弱なOpenSSLかどうかチェックして接続を切るSSLクライアントを実装するしかないな

>>103
Yahoo.comは今はAになってるけど
Yahoo.co.jpエラーで見れなくない？

スレ間違えた orz

公開鍵暗号方式自体が突破されたかと思ったわ

「この攻撃を行っても、秘密鍵を盗み出すのはきわめて難しいと考えられる」とシマンテックでは指摘している一
方で、そうした最悪の可能性も考慮し、SSL サーバー証明書の再発行を認証局に依頼するよう求めている。さらにエンドユーザーのパスワードをリセットすることも検討する必要があるとしている。

↓