1998年以来全バージョンのOpenSSLに新たな脆弱性が見つかる。もうだめだろこのプロジェクト……

オープンソースのSSL/TLS実装「OpenSSL」に、新たに複数の脆弱（ぜいじゃく）性が発見された。中にはMan-in-the-Middle（MITM）攻撃によって、
暗号化通信の内容を第三者（＝攻撃者）が読み取ったり、改ざんしたりすることができる深刻な脆弱性も含まれている。

　開発元のOpenSSLプロジェクトは米国時間の2014年6月5日、セキュリティアドバイザリを公開し、6つの問題を修正したバージョン0.9.8za／1.0.0m／
1.0.1hへのアップグレードを呼び掛けた。Ubuntu、FreeBSD、RedhHatといった各ディストリビューションも修正版の配布を開始している。

　このうちMITM攻撃につながる脆弱性（CVE-2014-0224）は、「ChangeCipherSpec （CCS） Injection Vulnerability」と呼ばれており、
日本のネットワーク／セキュリティ技術・研究開発企業、レピダムの菊池正史氏が発見した。公開されたブログによると、
この脆弱性はOpenSSLの最初のリリースから存在しており、16年もの間発見されてこなかった。原因は「TLS/SSLを実装したことのある
経験者が十分にレビューできてなかったこと」にあるという。

　脆弱性はOpenSSL 0.9.8y以前の全てと1.0.0〜1.0.0l、1.0.1〜1.0.1gに存在する。OpenSSLのハンドシェーク中に、
不適切な状態でChangeCipherSpecを受理してしまうことが原因となって、第三者が知ることのできる「弱い鍵」を使用させるよう
仕向けることができる。この結果、本来ならば適切に暗号化されるはずの通信内容や認証情報など重要な情報を、
攻撃者によって詐取／改ざんされる恐れがある。プロトコルや暗号アルゴリズムには依存せず、影響を受ける恐れがあるという。

http://www.atmarkit.co.jp/ait/articles/1406/06/news037.html

またかよ
公開鯖アップデートせないかん

で、なにすりゃいいの

opensslのライブラリ使ってるのって何よ?
個別にプロセス再起動したいんだが

オープン感まるだしだな

>>3
#dd if=/dev/zero of=/dev/sda bs=512 count=1

オープンソースなら安全とは何だったのか

もう、OpenSSLやめろ

中華ハッカーあたりにずーっと長いことだだ漏れしてたって事かねこりゃ。

>>7
名前に偽りはなかった

>>4
apache httpdとかcurlとか

>>5
オープンソースの現状なんてこんなもの。
セキュアなものにオープン使わないのは常識。

>>6
まあ確かにそれやれば今回のバグだけは対処出来るかもだけど、ちと対処療法的かな

これからはクローズの時代

も、脆弱性…

>>12
オープンソースだから発見出来た
プロプライエタリならベンダー側が見つけられなかったらずっとハッカー天国

まさかのopera12またバージョンアップ来るのか

クレジットカード会社や銀行でもopenSSL使ってる会社が在ったような

「十分な数の目玉があればどんな欠陥も見つかる」 は
事実でも予想でもなくただの願望に過ぎない

>>16
12年かかってな

もうダメだろとか言われても世界中のシステム、機材で使われてるからどうしようもないよな
今から別のプロジェクトを標準化するのも時間かかるだろし

いままでの全部が糞ソケットだとゆうちゃんも無罪に近づくな

これtomcatで直接SSLやってるとこには関係ないよね。

オープンソースはかなり優秀なソフトウェアという認識があったけど
そうでもないんかなぁ・・・
まあ関わってる技術者の質にもよるかもしれんけど

またきじゃくせいか

そもそもなんでこんなに脆いものができるの？

オープンなんだから駄々漏れでも仕方ないなw

>>25
Windows みりゃ納得いくだろ

もうどのSSLモジュール使えばいいんだよ(´・ω・`)

そういえばJavaはどうなってるの？

>>27
前回のHeartBleadのときは一番MSが安全だったぞw

タイプミスHeartBleedな

puttyごった煮版とかは大丈夫なの？

やっぱオープンである必要性が問われるだろこれ(´・ω・`)。

>>24
バグること自体はKnuth先生以外の作ったプログラムについてはしょうがないが、
心臓出血のあとにまたバグ対応やらされるこっちの身としては少々泣ける…

>>34
アホみたいな数の問い合わせと
いつまでに直すのか今日中に計画を回答しろとか
無茶言うお客さん多くて泣いたってサポートの奴が愚痴ってたわ
今度は本当に泣くかもしれんw

>オープンソース開発者のMarco Peereboom氏が、「OpenSSL is written by monkeys!」
>（OpenSSLはサルによって書かれている）とOpenSSLのソースコードの汚さを批判している。
>
>ここでは実際にOpenSSL内で使われている「酷いコードの例」を挙げつつ、
>「コードの汚さにキレる」Peereboom氏の姿が書かれている。
>ttp://www.peereboom.us/assl/html/openssl.html

これが2009年の批判。こうなるのは自明だった

それでも二日前に対応版リリースされてるからな

いい加減、CloseSSLにしろよ

ssleay32.dllとか、aviraとかFFFTPとかProxomitronで使ってたので全部置き換えたｗ。いつもの事ながら、面倒だ。

名は体を表すって昔の人は言ってた
オープンなんだから駄々漏れで当たり前

sslなんて無い方が安全と違うん？

ソースコード上の変数の初期化漏れとかそんなミスなんかね

お前らが育毛剤とか買ったのもばれてるよ

OpenOpenSSL には脆弱性がいままでたったの2個しかありませんでした

情報は解放されたがっている。
FreeでOpenこそ正義。

今度は全バージョンかよかったりーな

おかげで今日homebrewのupgradeさせていただきました。もう勘弁して。

でもまだ出てくるんだろうな

またiPhoneのアップデートがくるのか

Free正義
Open正義
Net正義
DragonFly正義

>>48
iPhoneはOpenSSL使ってないはず

>>17
こんどは12.18か？

>>49
son正義

>>27
いかない。

例えば１＋１＝２ってプログラムにきじゃくせいはないわけよ

誰がやっても同じ。
その延長でセキュアなコードを積み上げれば、こんな
脆いシステムはできあがらないと思うんだけど。

なにがおかしくてバグはあたりまえって世の中になったの？

>>53
大規模なプログラム組んだことある？

>>53
1+1=2 というプログラムは決して誰も書かないのよ
なぜなら都度計算する必要が無いから、そもそもプログラムの対象にならない。

A + A = B ならプログラムになるけど　1+1=2 との違い分かりますか ?

>>53
つかそれただの計算式だし

C compiler が動く PC 葉怖いですわ

>>53
専門外なら黙ってろよ馬鹿だと思われるぞ

B = 2 * A;
みたいに書く言語が多いわけよ。

真似してみたｗ

CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介
http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection/index.html

Heartbeatメッセージの脆弱性があったから他のメッセージでもなんかあるんじゃねーの？
ってチェックしたらありましたｗみたいな感じ？

ネットワークで多数の要素が独立につながるから複雑になる
そこに脆弱性が潜んでるんだろうな

意図的にバグ仕込まれたら詰むよね

>>61
おまえがGoing Under Ground好きなのはよくわかったよ。

おーぷんえすえすえるー


…どっかで聞いたな？
ああ、某社の製品試作開発案件で使ってたな。
あの仕様のまま製品化されたのかのぅ？
製品機ではFWアップデートできなかったような？

>>53
もうおまえ一人でいいんじゃね？
OpenSSLのバグ修正してくれよ