【技術】OpenSSLの重大バグが発覚=インターネットの大部分に影響

今日（米国時間4/7）の午後、私の知っている多くのセキュリティー関係者がうろたえている。非常に深刻なバグがOpenSSLに見つかり、公表された。
OpenSSLは、インターネットトラフィックの非常に〈非常に〉多くの部分で使われている暗号化ライブラリーだ。

インターネットの50%で使われていると言われるApacheウェブサーバーは、OpenSSLを使っている。

セキュリティー研究者らが “Heartbleed“と呼ぶそのバグを悪用すると、過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、
システムメモリー上にある大量のデータを暴露することが可能だ。

しどこかのアタッカーが、いずれ解読するつもりでサーバーから山ほどの暗号化データを取り出して持っていたら？
それらを解読するためのキーを手に入れているかもしれない（アタックしたサーバーの構成による。例えば、Perfect Forward Secrecyを使って
設定されているかどうか）。

非常に控え目に言って、これは悪いニュースだ。

問題のバグは、OpenSSLの “heartbeat” という機能の実装に存在する。そこから “Heartbleed” と名付けられた。

このバグは、OpenSSLに2年以上存在していたが（2011年12月以来、OpenSSL 1.0.1～1.0.1f）、今日初めて発見され公表された。
さらに悪いことには、このバグを悪用してもその痕跡はログに残らないようだ。
http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/
◆◆◆スレッド作成依頼スレ★854◆◆
http://ai.2ch.net/test/read.cgi/newsplus/1396601360/648

648 名前：名無しさん＠１３周年＠転載禁止[sage] 投稿日：2014/04/08(火) 16:19:25.52 ID:SHTmLIFF0
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性
http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/

あらまあ

今日まで読んだ

もうパッチが出てるな。

つまり俺らにどんな影響があるのか簡単に頼む

三菱自か

実はCIAが仕込んでいたバックドアだったが、古くなって現在は既に他のバックドアが
浸透してあるのでバグを装って公開することにした。

>>5
クレカおわた

XPには>>4のバッチは適用されないって事かね
でもサーバーとPCじゃ違うからあんま関係ない？

Amazonギフト券の勝利って事？

アメリカの規格は使わないようにってことじゃね？

amazonや楽天、その他インターネット関連サービス　終了のお知らせ？

>>10
Amazonは別の技術を使ってるの？

>>5
再起動？

俺が童貞な理由がわかったかもしれない

XP本格的死亡のお知らせ？

つまりどういうことだってばよ

アメリカが首謀者だろw

OpenSSHは大丈夫なの？

インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ
インターネット＼(^o^)／ｵﾜﾀ

アプライアンスが一番面倒なんだよ。
こりゃBIG-IPのHotfix出たらやらんと。

0.9系が大丈夫なら旧いシステムは問題なさそう

五歳くらいの子がスペースキーぶったたき続けたら父親のアカウントにログインできたバグがあったけど
あんなの、最初から開発側が作っておいた穴としか思えない

俺のOpenSSLは５年以上前のバージョンだから関係ないな。

よく理解できない
だれかガンダムで

また１つWindows Serverの堅牢性が証明されてしまったな。

>>26
はぁ？

>>17
「この通信は暗号化されてます」っていう
クレジットカード番号入力する画面の言葉が、
意味なくなってるかもって話。

インターネッツ終了のお知らせか

Debianは、さくっとパッチあてた。
FreeBSDは10.0に以降してたからセーフか。
心臓に悪い。

http://heartbleed.com/

>>25つまりソーラレイが発動された軌上にだな…

最悪だな

>>13
CloseSSL

>>25
あ？
ガンダムにテラフォーマーが出てこれる

サーバーOSの話だよ
ネットでカード番号や、銀行の暗証番号
やりとりの履歴が解読されてしまうって事だよ

今までの履歴をサーバーからコピーして
ハッカーが手元に持っていたら
全部解読されてしまうって事だ

今まで買い物した人や、振込した人の
暗号やセキュリティーが破られるってこと
今から対策しても手遅れっぽい

わははは
何それ？

ネットバンキングとかどうすんだ？

インターネットｵﾜﾀ
って言っとけばいいのか

これは悪いニュース？それとももっと悪いニュース？

NSAが裏口を埋め込んでいるからな
他にもたくさんあるだろうな

結構でかいな。
あちこちで使われているだろ。
セキュリティ専門じゃ無いからようわからんけど。

>>25
ガンタンクのタンクが無くなった

バグフィックスはまだなのか？

まだなら出来るまで完全にサーバーを落とすしかなかんべ

苦労して解読したらエロ動画でした。というオチ

>>25
ガンダリウム合金で作られていると思ったら、一部プラで作られていた。

楽天はApache使ってるから見事にアウトだな。

これは大変な事になったな、雰囲気でなんとなく分かる

>>35
（：ﾟДﾟ）うそーん

マジでやばすぎるじゃん

モバイル系死にそうね（無関心

インターネッツは永遠に不滅です！

●流出が世界規模で起きたようなもん
大したことないなw

非常に〈非常に〉　　　←　何だ？

しどこかのアタッカー　　　←もし　の“も”がぬけた？

非常に控え目に言って、これは悪いニュースだ　　　←非常にでも控えめにでもなく悪いだろw

>>25
最終回で使ったガンダムのコアブロック分離ボタンが
実はザクの指で押せるほどデカかったと言う事だよ

（：ﾟДﾟ）今から通販サイトからクレカ情報削除しても意味無いんでしょ？

恐ろしさ満点の続報に期待したい
阿鼻叫喚ってことに・・・ならないよね　orz

アメリカは武田に対して行ったように世界中に賠償金払わなくていいのだろうか

OpenSSLを使ってるサーバが通信の相手方に自身のメモリ空間のうち64KiB分をお漏らししてしまう、という脆弱性らしい
その64KiBに秘密鍵なんかが含まれているとヤバい、ということらしい

え？インターネットを信用して買い物とかする情弱なんて存在するの？ｗ

スマホなんて平文バグで送ってたりしますし

>>35
その手の情報一切打ち込んでないなら特に問題ないって事か？

>>25
ガンダム大気圏突入シーン
ちんこケースに耐熱シートのはずがサランラップが入ってたことが判明

ビットコインの件で発覚したんちゃうか？

>>19
あれも内部でOpenSSL使ってるからアウトだろ、
うーむ、うちの自宅鯖どうしたもんか・・・

>>1
これ、鯖側の脆弱性と踏み台XPのコンボが決まって恐ろしい事になるかもって話か？

詰んだ

>>35
破るにはもの凄い数のPCを並列処理させて何年かかるけどね

まぁ漏洩すると考えてた方がいいけどねbear

>>25
本格的なガンダムゲームを買ったら
OPで尻アゴのシャアが出てきた

ここまで重大なバクだと俺らが慌ててもしょうがないから
こここはおつついてどしりかまえる鹿ないな

>>51
●流出の俺に謝れｗ
泣けてくるぞマジでｗ

書き込みしていないものまで書き込み扱いされて
同僚から引かれたわｗ

>>62
OpenSSHはOpenSSLのうちlibcryptoの部分しか使ってないだろうから
TLS接続絡みの今回の脆弱性には影響されないのではないかな

>>35
eコマースしてない俺大勝利か

よくわからんものは使わないほうがいいな

今時Apache使ってるのってアホなとこだけじゃないの

XPのサポートが終わったこのタイミングで発見とかほんと台本が下手・・・

すでに凄腕たちがバンバンと遊んでる頃合いかな
1か月後くらいにえらいことになってそう

これを先に知っていたのがどのくらいいるかが問題
アノニマス辺りは怪しいな

>>72
そうなの？
何を使っているといい感じなのかね？

>>68
大した事ないだろそれw

金返せベリサイン

あー嫌だ、嫌だ。

書き込みとか特定されたらもうぶっ殺し合いでもすんしかねえなあｗｗｗ

つまりマクロスで言うとどのぐらいヤバいの

暗号化データを複合すんじゃなくて、
メモリ上に展開されたとこを抜けるってことじゃ？

http://www.openssl.org
>07-Apr-2014: Security Advisory: Heartbeat overflow issue.
>07-Apr-2014: OpenSSL 1.0.1g is now available, including bug and security fixes

>>72
じゃあ、大多数がアホだな

Apache以外でもOpenSSLは使ってるし

どういう事？
クレカやあらゆるIDやパスワードが悪者に抜かれ放題ってこと？

>>54
あわててもしょうがないから、
当面クレカの請求書に身に覚えが無い請求が乗っかってないか注意しとけ。
ネットバンキングやってるヤツは引き落とし履歴に注意。

クレカ用口座・ネットバンキング用口座に多額の貯金をしているヤツは、
ネットに使ってない口座に多くを移動し、
ネット用口座には必要最低限or盗られてもあきらめがつく金額にしとくのが、
対策中の対策。
(そういう意味じゃ、クレカの口座に赤がついてもいいように定期作ってるヤツも、
それは便利で安心だけど、やめといたほうがいいぞ。)

重大ハゲに見えた

>>80
（：ﾟДﾟ）リン・ミンメイが巨大化して地球を叩き壊した

>>81
そうだけど秘密鍵を抜かれればそのサーバの通信を傍受し放題という...

ガンダムで例えると他人の便意で私の肛門が自動的に脱糞してしまうようなもの

>>84
https://「このサイトはSSLによってセキュアになってるからクレカの番号入れろやカス」

↑全部つつぬけでした。

難しくて何言ってんのかわからん
ガンダムに例えて教えてくれ

>>77
いや2ヶ月ぐらいほんと落ち込んだｗ
あれメンタルに来るぞｗ

>>90
なにそれ
ヤバいじゃん
超ヤバいじゃん

>25だが
ガンダムで例えてくれたお前らありがとう
でも
>>35がわかり易かったわｗすまん

エロ本やテンガを買ったことがバレるのは恐ろしいな。

>>68
ヘタに期間が限定されているから、周囲の疑心暗鬼を招くんだろうなｗ
馬鹿をやらかしたラノベ作家なんか、いまだに２ｃｈで下種野郎扱いされているｗ

慌ててＸＰから乗り換えた人は負け犬

楽天もあかんな

>>85
（：ﾟДﾟ）ありがとう。気をつけます
はぁ～請求書見るの怖い

>>25
シャアの思惑がガルマにばれた

ちょっと前にyahooメールがパスワードを強制リセットした時
秘密の質問みたいなの適当に入れて控えてなかったからいくつかの垢駄目にしたが
またそれか？

２ちゃんは暗号化してないから安全だな。

>>87
首だけになったマクロスで何とか対抗できないものだろうか・・・

知ってた

２ちゃんねるの書き込みは匿名だと思って
自分の赤裸々な性癖から恥ずかしい中二病妄想まで
言いたい放題書き込んでたら
今になって過去半年分の書き込みすべて
名前欄が実名になってアップされた

みたいなこと？

>>80 巨大戦艦が何処からか落ちて来たからと修復して試運転したらゼントラーディ軍に
主砲ぶっ放した感じ。

>>103
（：ﾟДﾟ）アムロが搭乗すればあるいは・・・　って作品が違ったorz

https:// で始まるURLの通信内容が・・　ってことでね。

つまり預金データやATMも終了の可能性すらあるんだろ？
核ミサイルの発射コードとか。
預金全額おろしといたほうがいいぞ。

>>94
死ね屑

IIS大勝利って奴か?

>>105 まあ実名で表示されるのかっつうと実名で表示され事あねえだろうけどなあ。

てか恥ずかしい性癖とか別にねえし。

またカード換えないといけないのか

おまえらどうせ預金残高100万逝かないんだろ

　

Linuxであればメモリの中身とスワップファイルは暗号化して運用してるだろ

まさか2014年にもなって暗号化してないで平文ではあるまいな

そういうやつはLinuxやWindowsを使う資格がない！！！

　

>>96
こんなスレから俺の暗黒の期間をトラウマのように思い出しちまったよｗ
いやID生成からいって被るのがいくつかいたんだわｗ

元々どこのどいつらが作ったのかいまいち判らんもんだもんな

今すぐCloseするんだ

まあ、とりあえずおちついて、あいうえお作文でもしようぜ

S
S
L

インターネットの大部分とか大嘘
.1.0.1 使ってるサイトなんてごく一部で、ほとんどは 0.9.7/0.9.8 か 1.0.0 でしょ？

そんな新しいOpenSSLつこうてるディストリビューションあるんだ

とりあえず秘密鍵の解読の仕方を教えて

こんなこともあろうかと俺はいつもコンビニ払い

>>119
STAP
STAP
Lan Lan Lan♪

>>124
コロコロちゃん・・・髪の恨みの事はもうわかったからSTAPの事はもう忘れなさい・・・

>>122
先ずパンツを脱ぎます

66%てのはOpenSSLに依存してるサービスの割合で、そのうち脆弱性があるのは1.0.1系だけだからね
大抵のサーバは0.9.8あたりを使ってると信じたいｗ

>>119

S　すました顔で普段生活してても
S　スケベなグッズをネットで買ってると
L　リークされる日がやってくる

openSSLって二年に一回くらいのペースで騒ぎが起きる気がするなｗ
導入されてる数も数だから仕方ないんだろうけど。

GeoTrust DV SSL のオレに刺客なし

ダメな感じのみなさん

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

なんとなく大丈夫な気がするみなさん

Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server

ダメなみなさんの対策
-DOPENSSL_NO_HEARTBEATSオプションをつけてOpenSSLをコンパイルしなおし。

だそうな。

やべぇぇ
俺給料うけとりセブン銀行でちょくちょく確認の為ヘッドバンキングしてたわ…

>>110
おまえが死んだほうがいい。

>>132
頭フリフリ

>>131
全然ダメダメじゃんかなりやばいす

　

焦ってmakeしているやつもいようが

makeしたら負けである。

　

俺が２年前から無職なのもコレが原因か！！！(´・ω・｀)

>>125
（：ﾟДﾟ）は、はいっ！

>>131
Fedoraの最新は 20 だぞ、
まぁ、それでも OpenSSLは 1.0.1e-37　(build date: 2014/1/7)
だからアウトだろうけどｗ

apacheが絡んでいるんじゃ、やっぱり被害は甚大だな
iis使っているwindows Serverはどうなんだろう

>>137
彼氏に振られたのもコレが原因か！！！(´・ω・｀)

これって情報打ち込んだ側では何の手も打てないって事だよね
受け取ってた側もエライ事になりそうだが

痕跡が一切残らないっていうのがちょっとねぇｗ
どうしようもないな。もうどこかに情報は蓄えられてるんでしょうねぇ。

そして銀行が本当に困っている問題：ATMをwinXPでやっていたのにサポートが停止された件の方
っていうｗ

URLを入力するとそのサイトのWebサーバーの種類をSSLのバージョンも含めて
調べてくれるサイトってなかったっけ？

いや全部俺のせい

商用のサービスでFedoraなんて使ってるところがあるとは思えないけどｗ

RedHatとかはどうなんだろうな。
つか、2年も経って今さらお漏らしかよ。。。

>>144
パケキャプすればいいじゃん

クレカも作れないお前ら大勝利だなｗｗｗｗｗｗｗｗ

解読したい秘密鍵があるんだけど、もうツールとか出てる？

代引厨の俺には関係ないな

ほとんどのサーバーは０．９．８だろう。
でもなんでSSLにハートビートを入れる必要が有ったのか不思議だ。

>>25
　ガン１丁で、ダムが壊せた

>>144
これ？
http://site-alert.net/

OpenSSLに重大バグって、そこらへんのソフトのセキュリティみんなアウトやんけ

やっぱりネットに繋ぐPCは専用機にしてLANに入れない。これ最強。
ダウンロードしたデータは物理メディアで他のPCに移動。

>>148
キャプした後の解析ってどうやればいいの？
使用バージョンが生で書いてあるわけじゃないんでしょ？

XP終了の日に合わせてきたのは何か理由があるの？

>>80
ミンメイの声が出なくなった

預金データなんか
いくら何重にバックアップしてても
オンラインでつながっているかぎり
すべて駄目になる可能性があるからな～

別にこの程度ならまだいい（嫌だし気持ち悪いし許せないけど）。

もし金融取引がシャットダウンするバグだったら？世界が同時終了するんだよね？

OpenSSLってサーバ以外にどんなことに使われてるの？

とりあえず、tar ball拾って来いや

yumに安易に堕落してると、少ししんどいかもな

>>136
heartbeatsを外してmakeした俺大勝利！！

以前は、linuxをソースからコンパイルして使ってたけどopenSSLって滅茶苦茶使ってるじゃん。
どうするのこれ？

スレとは関係ないが最近特定のページがよく開けなくなる
リロードすると大丈夫だったりするんだけど

これを機にGnuTLSに切り替えるソフト多数、なんてことにはならんか

インターネットってアメリカの軍事産業から生まれたんだろ？
社会がここまでネット社会になったら
もし万が一アメリカがインターネットに何かを仕込んでたら
終わりじゃね？

とりあえず金扱うサイトのパスワードを変えておけば大丈夫？

>>115
あーよかった。NetBSDで。

>>167
（：ﾟДﾟ）MMRであったな～
人工知能・ホーリーソルジャープロジェクト

>>94
ｗｗｗｗｗ　>>35が素晴らしすぎたね。　

>>167
インターネットって、アメリカを起点に全世界に伸びているんだぜ。

その時点でまあ、お察しください。

>>168
究極的には通信内容が漏れる可能性がある、という問題だから
サイトが安全宣言出すまでログインすらしないほうがいいよ

>>167
もしそんなものがあったら、既に誰かが暴いているよ
結局は一企業の持ち物でしかないWindowsとの違いはそこにある

お漏らしすんの、64キロバイトまでじゃなくて、ハートビート1回当たり64KBなんな。
セッション切れるまでずっと64KBずつ漏らし続けるのか。
お漏らしとかいうレベルじゃねぇな。。。

安全声明出さなきゃいけないサイトっていくつに上るんだろう
気が遠くなりそう

>>119
Ｓ ee
Ｓ u
Ｌ u-

>>167
すべてアメリカ様に筒抜けとおもってればよろし

ネット通販使わない俺大勝利

>>174
これからやることも出来るだろ？？

はじめまして。いつもご利用させていただいております。
この度Cisco機器（ルータ及びスイッチ）にSSHにてLoginできるように設定を
行いLoginまでは確認できたのですが、そのまま何もオペレーションを行わずに
開いたままにしておくとコンソール上にssl-heartbeatという文字列が勝手に
入力されてしまうという現象が発生しており困っております。

↑これすごいな

今893がIT技術者の多重債務者を全力で探してます

もー、全部買い物はプリペイドにするのが正解だな
コンビニで気軽に買えるようになったし

>>182
探さなくても、つくればいいのよ

てか、これ個人に責任は無いよな？
被害は補償されるはず。

面倒だけど決済にカード使わなかった私の勝利って事かな？
便利なものほど危険が伴うが母の遺言だから守ってよかった

>>185
有志の皆様が作った名無しのソフトコードだから
責任の所在が不明にだからな。
訴えたくても被告が見つからない。

バグなら直ぐ治るでそ。
脆弱性ならやばいけど。

情報システム板にスレすらたってなくてワロタw

>>1
OpenSSLは、SSLプロトコル・TLSプロトコルのオープンソースな実装・・・
ではあるが、

＞過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、
＞システムメモリー上にある大量のデータを暴露することが可能だ。

　　★　解読までのハードル高くね？

もうぬるぽ

>>68
自分で書いておいて言い訳するなんて見苦しいわ

>>131
CentOSってもうyumでアプデするだけで大丈夫じゃないの？

>>175
福島レベル？

あら、知らない間に日本ベリサインがシマンテックになってた。
世の中変わっていくのね～

ルーターとかの組み込み機はSSL切るしか無いのかな

>>178
それがアメリカの強さの秘密だからねー（ ´_ゝ｀）

>>109
銀行の基幹業務システム（ATMや決済関係）自体は、インターネットとは別の完全に閉じた系になっているから大丈夫なんじゃね？
ネットバンキングに関わる部分だけがヤバイと思う

>>9
OpenSSLで独自のCA立ててる所が影響あるんじゃね？

家のサーバは、SSLのポート空いてないから大丈夫だな。そもそもSSL使ってないけど。

取り敢えずネット購入は控えるしか無いのかもね

Vプリカでよかった

>>131
何じゃそりゃ！だな
対策担当しなきゃいけない皆様ご苦労様です
いまやってなくてよかった

大多数を占めると思われるrhやco使ってれば対象外じゃん

>>52
控えめに言ってってのは英語独特の表現だよｗ
つーか、今も開いてるネットショッピングサイトってマジ大丈夫なんか？
緊急メンテメールどっからも来ないけど…

>>59
ぶっちゃけ、個人情報入力や買い物をして無ければ
バラされても損害無いだろｗｗｗｗｗ

>>85
利用額／内容チェックが今後半年ぐらいは必須かもね
つーか対策済を公表してくれんとアクセスするのが怖いんですがｗｗｗ

>>105
うまくすれば通販の恥ずかしいお買い物履歴が公表されるのかもねｗｗｗｗｗｗｗｗ
てか、それ以前にカード情報抜かれたら悪用されるぞ

ああ、Gメールとかのssl使ってるWebメールも危険かも？？？？？
ぐぐるの発表待つしかねーのか…

>>194
多分チェルノブイリか白頭山噴火レベルｗ

発見者はGoogleセキュリティーチームの奴か…
ならGメールもう大丈夫かねえ？？？

まじすか。もうWebでhttpsページの鍵マークあっても
信用できないって事だな。
ベリサイン大儲けしそうな悪寒。

>>207
いや…そのベリサインの認証が役に立たなくなるって事ではと…
認証に使ってる暗号化技術が壊されたって事でしょ、これ

つーか、午後５時過ぎに情報が日本語で流れたってんなら
大手企業のシス担はまだこの情報を知らない可能性ない？
本当、大丈夫かこれ？
戦争やっててミサイル防空網が破られたのと同じではないの？？？？？

>>208
暗号化技術は壊されていない
OpenSSLのバグを修正して、ベリサインなどに新しい鍵を作ってもらう

>>206
黙ってるバグがありそうで嫌だw

インターネットの暗号化技術は何処かで一度完全に破綻すると思ってるけどな。

>>208
どちらかというと、ベリサインとかに頼らない
独自のサーバー立ててるところがヤバそう。
で、仕方なくEA証明書とかに頼らざるを得ない
みたいな流れかと。

NSAが～

>>210
>>213
暗号運用プログラムが一部バグあった＝今ssl運用出来ない＝暗号化にならない通信しか出来ない
じゃないん？
バグ修正まだっしょ？？？

記事の内容からすると、攻撃で入手できるシステムメモリ上のデータは
暗号化されてる状態なのか？それなら復号キーさえ漏れなければ暫くは大丈夫だが。
しかし、コンピュータの性能が急激に上がったり、
暗号方式自体に問題が見つかったりすれば、いつか暗号は破られる。
墓まで持っていかなければいけない情報は絶対にクラウドに置いたりしてはいけない。

　
　　　　　バカの見本　　　→　ID:jKo8+0+W0

今日の午後出たって書いてある緊急パッチあてて暗号鍵鯖蔵とも再実装すればもうOKなの？？？
現在の進行状況がわからんち会長

今日debianでアップデート来てたやつか
昨日、この記事読んでたら怖かったわ

なんかまかり間違ってオレの借金がなぜか返済完了したってことにならねーかな

>>31
どっかからユニコーン持ってこいってこと?

>>217
鍵が漏れてないと言う根拠は？
つかお前が今回の騒ぎで損害が起きたら全保証してくれるんかｗ

あかんこれ

>>131
俺のはsidとjessieだけど
wheezyも今日の＋deb7u5で対策してるんだと思う

コンビニ払いと代引きしか使わない俺の勝ちか

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

ダメな感じの鯖使ってる人はOpenSSL 1.0.1gにうｐデすべし
すぐにわ無理だったらOpenSSLを -DOPENSSL_NO_HEARTBEATSオプションでリコンパせれ
でおｋか？

>>225
何を買ったのかが垂れ流し

つまりどういうことだってばよ。

>>80
マクロスが真っ黒スになる

>>227
エ、エロイものなんか買ってないもん！

インターネット廃止にしろや

heartbeatってなんなの
波紋なの

OpenSSLを使わなければいいじゃない。

Amazonの購入履歴が暴露されたら、死ぬ

>>232
サーバーやルーターが出す「生きてますよ」のサインだったかな？

>>85
まあバンキングは乱数のカードあるなら大丈夫か
クレカはやばいな

これ秘密キー取られたら大変なことになるで

>>234
みんなバレるんだから大丈夫だろ

ｍｊｄ？

やるなよやるなよ、分かってるな？ってサイン出してんのか

バグがたくさんの商売を作りだしてる
バグ万歳

>>25
ジオンは必死に軍とモビルスーツの秘密を守ってたつもりだったが、ジオンの軍事コンピューターにはバグがあって連邦には筒抜けだった。
短期間でどのジオンモビルスーツにも負けないガンダムが作れたのはそのせいだった。

>>241
でも保守サービスで喰えるかというと
こういう場合の緊急メンテ料が高いと
じゃあサーバ停めましょう。
と言われて終わる。

急遽XPのサポートが延長されるのか

うへー
対応するの嫌だなー＠インフラ

普通はCERTで数ヶ月前から関係者には公開されて
公開日には対策済みって流れなのに
今回は影響がでかすぎで即日公開なのか？

yamahaルータ死亡？

Amazonとか楽天とかYahoo!ショッピングにクレカ登録してあるんだけどヤバイんですか・・・？

wahaha........

>>7
それいうならCIAじゃなくてNSAだろ

>>248
不正取引と申告した際に請求を止めてくれる
クレカかどうかできまるんじゃ無いかな。

でも実際にこの件で被害にあった場合には個人なんかより
銀行やクレジット会社側の被害額がやばい話し。

AviraFree Antivirusを確認したらこれの1.01e使っててﾜﾛﾀが
一回切って自分で更新した方がいいのかアップデートを待つべきなのか

ライブラリとして使っている個所にバグがあるのだから、
使わなければ良い。

鍵屋さんの鍵生成マシンにバグがあって、なぜかそこの鍵屋さんで造った鍵だと
ドアの施錠が甘くなるってことだよな。
その甘くなったドアの隙間から同じ鍵のレシピが見えるようなものだ。

>>238
富裕層はバレない。

>>248
楽天はApache使ってるけど、opensslのバージョン次第じゃない？
トップページじゃまだ無にも発表してないし、黙り決め込むかな。

そんなバグをつつけるほどの人材なんてほんのわずか

CentOS6もすでにパッチ当たってるわ。
とりあえず片っ端からyumで更新→再起動かけた。明日の説明めんどくせぇ。

>>257
就業時間中に2ch見てて知りましたとか…

Closeしとけよ

具体的に俺等にどのような影響がるんだろう
バカにも判るように頼むわ

>>256
あっという間に便利なフロントエンドが出てきて3秒ハッキング出来るようになるぞ

>>258
なんでわざわざ地雷踏むのさw

1.0.1g にアップデートするのは簡単だけど
秘密鍵盗まれた可能性を考えると証明書全部再発行せんといかん

自前CA局発行の200枚くらいあるんだけど・・・めんどくさい
Verisign とかで有償で取った奴はどーすんだよこれ・・・

OpenOfficeアンインストールしてMS Office買ってきた。
やっぱり無料ほど高いものはないんだって痛感した次第です。

OpenOfficeはパッケージとしては無料でも、
無償奉仕による物では無いのでは

例えば16桁の素数と16桁の素数をかけた値が暗号鍵とか、
暗号の仕組を知ってからは、鍵を最初から持ってないと解読不可能だと思った

今日ソース落としてビルドしたー

つまり借金がチャラってことなんだな？

オープンソース安全論は？

よくわからないけどネットバンクやばし？

>>246
もう昼過ぎにはexploit出始めてたのに
JVNにも出てなかったし、後手後手だね

おやおや

さっきaptで何か出てたな。対策されたんだろうか。

やべーなこれ

ガンダムの盾が実はガンプラで出来ていた

>>25
ジムの戦闘プログラムはガンダムの実戦データをもとにコピペされているが
どういうわけかザクやゲルググも同じパターンを学習していた

俺の俺俺SSLは大丈夫だよな？

株やFXやクレジット決済やネットバンキングやら、金の絡む所でいくらパスワードを類推しにくくしても、平文で流れてるようなものでは、どうにもならないな
これで損失を被っていたら、保障してくれるのかな？

あわわわわ・・・(￣◇￣;)

>>183
> もー、全部買い物はプリペイドにするのが正解だな
> コンビニで気軽に買えるようになったし

というか、政府主導＆強権発動してもいいからネットマネーを一つに統一してほしいわ
今いろいろやってるところにゃ申し訳ないけど、利便性高いものを親方日の丸にしてさ…

Ｃのポインターは機械語と論理レベルが同じ低水準なので、危険。
外部との通信用のプログラムは、Ｃじゃないセキュアな操作しか
できない言語あるいはそのような仮想マシンの上の命令列で
記述するようにしないとだめだね。

ポインタのサイズを自由に変えれるのかな

>>8
世界中に何億枚のクレカがあると思ってるんだよ。
ひょっとしたら何十億枚かもしれない。
そんだけあるどれかがハッキングされたって、自分のが当てはまる確率は、
ジャンボ宝くじで１等当たるより低いわけだが。

オープンソースで世界中の人間が自由にソース読めるのに案外見つからないものなんだな

無線LANとかWi-FiとかWiMAXとか全滅じゃね？

>>281
UNIX系OSやWindowsまで否定するのか

>>281
それは無理

>>281
PHPのダメコードが今までどれだけのセキュリティ事故を起こしてきたことか・・・

でもまあ、マネージドコードでも大して問題なく書けるものはそっちのほうがいいやね。

>>288
仮想マシンの上で動いて高級すぎない言語が一番なんだろうな。
JavaとかC++/CLIみたいな。あるいはLisp系とか。

>>131
Vine大勝利

３年ぶりにクレカ使ってネットで（恥ずかしい）買い物しようとしてたところだ
あぶないあぶない

>>289
Javaがどんだけ穴だしまくってるか知らんのか・・・

>>292
古いJVMはマルウェア扱いされるしな

うちの linux 2台、
　OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
　OpenSSL 1.0.1e-fips 11 Feb 2013
らしいんだけど、>>1 によれば前者はセーフで後者はアウト？
yum でアップデートかけたけどまだ新しいのは出てないみたいだ。

0.9.8も何か脆弱性あったよ
redhatが独自に塞いでるのかもしれないが

www.openssl.org/news/secadv_20130205.txt

>>295
そりゃ2013年2月の話で、0.9.8yが出て修正済み

>>294
RHELかその眷属のCenOSなどだろうけど、それなら
rpm -q --changelog openssl
で変更履歴を参照してCVE-2014-0160が修正されてればおk

今回の脆弱性とは別にRed Hatのfipsパッチが気持ち悪いという人もいるけどな

>>295-297
ありがとう。
OpenSSL 1.0.1e の方は CVE-2014-0160 の問題は修正されてるっぽい。
OpenSSL 0.9.8e の方でも CVE-2013-0169 の問題は修正されてるっぽい。

>>297
おお、そんな方法が。。。
いつも一生懸命RHNのページをぐぐってバックポートを探していた。

って、あれ？
changelog は
> * Mon Apr 07 2014 Toma? Mraz <[email protected]> 1.0.1e-16.7
> - fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
で 2014/4/17 に修正がかかってるんだと思うけど、openssl version では
> OpenSSL 1.0.1e-fips 11 Feb 2013
で 2013/2/11 版のようにも見える。
アップデート後再起動しないといけないんだっけ？

>>300
opensslコマンドに引数でversionを渡したときの出力は変わらないでおk

RHEL系ではバージョンを上げずにバックポートで穴を塞ぐのが基本
バージョンアップでソフトの挙動が変わると客先で動かなくなるソフトが出るかもしれないから

というわけで、1.0.1eに1.0.1f～gで修正されたパッチを当てたものが入ってる
機能は1.0.1eのまま、でも1.0.1fまでの穴は塞ぎましたよってこと

RHELはバンドルされているソフトが古いと言われるゆえんでもあるけど
サーバの安定稼働を重視するポリシー

各ソフトの新機能を堪能したいかたはFedoraでイケイケバンバンしてね
Red Hat Linuxを有料化したRHELと無料のFedoraに分けたときの説明がこんなだったはず

heartbeatをコッソリ仕込んだ奴が犯人

在日の井上弘　　「ヤフーは災害協定している市町村の公務員に災害派遣等の手当を不正受給させて口止めさせるんだはｗ。
　　　　　　　　　　　そんで帳簿を改ざんさせて緊急防災・減災事業で確保された財源で携帯電話事業に洗浄参入ニダ。」

1.0.0は問題ないの？

Amazonで買ったオナホールとかゼリーとか筒抜けなんですか？

今日から自社製品のパッチ作る作業が始まるのか

よくわからんから、知っている人は教えてくれ。

企業などが持っているサーバーを、悪意を持ったヤツにアタックされた場合に
問題があるってこと？

こういうの疎いんだけど
個人のパソコンだと何のソフトが危ないの？
openofficeは確定なの？
openSSLが含まれてるかどうか調べる方法は？

>>307 >>308
あんま気にスンナ
しばらくネットで買い物しなければ良すし

>>309
ネット通販さえしなけりゃいいの？
ちょうど増税への抗議で買い控えを始めたところだった。

ubuntuアップデートかけた
openssl 1.0.1-4ubuntu5.12
最近SSH切ったからどうでもいいが

>>310
>バグを悪用すると、過去2年以内の

無職でクレカ持ってない俺は勝組。ってことか！

うむ
数年前にWindows開発に的を絞った俺エライ

>>65
違う。
今回のはそこらのPCで解析出来るんで問題になってる。
今回はその辺を示唆していたとあるハッカーさんから見れちゃったよーって一般に知られる前に情報提供を受けたので先んじて対応バージョン出せた。

Heartbleedのサイトあるんだけど、URL忘れちった。
ググれば見つかるかな？
heartbleed.comとか簡単なとこ。

ちなみに1.0.1gから対応ね。
さらに言うと記事元のハックの仕方が少し間違ってるからサイトで内容を確認した方がよろし。

OpenSSLのライブラリの欠陥だろ？
OpenSSLのライブラリだけ更新したってだめじゃないのか。
ライブラリを使っている例えばApacheも作り直さないと。

webクライアントを他人任せにしているせい

>>25
さいこみュを操ってララァ攻撃可能。

メーラーとかが1.0.0とか0.9.8使ってたんだけど
今回の件はだいじょうぶでも、この機会に1.0.1gに更新しておいた方がいいの？

例えばこれでカード悪用の被害等が出たらどうなるんだ？

What versions of the OpenSSL are affected?

Status of different versions:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable
Bug was introduced to OpenSSL in December 2011
and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012.
OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.

1.0.1f　はやばい
1.0.1g　はやばくない
1.0.0　はやばくない
0.9.8　はやばくない
このバグは2011/12に組み込まれ2012/3/14にリリースされ2014/4/7の1.0.1gで修正された

このスレ何で伸びないんだ？
色々とヤバいんだろ？

書かれてる事、俺にはさっぱりだがｗ

俺のとこはアパッチはなくてISSだから心配ないな

>>321
結局、見るべきはこの部分だね。

>OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable

OpenSSL 1.0.1 から 1.0.1f (を含む) には今回見つかった脆弱性がある。
それ以外のバージョンなら大丈夫。

自分のとこは大丈夫だわ。古いオンボロで助かったw

oh…トリアエーズ、ネットショッピングは止めて、クレカの請求に注意を払う
地方都市だとダメージ大きんだがｗニッチな釣具とかリール（ｼﾏﾉ）の細かい交換パーツとか注文してたからさ

>>322
普通の住宅にたとえる。ちょっと極端にたとえているから、
現実に即さない面があるが、ご了承ください。

家の玄関に「OpenSSL」って会社が作った、電子ロック（暗証番号入力型の鍵）付きドアを備えた。
家の外側には、暗証番号は書いていないが、ドアの内側には暗証番号が印字されていた。（忘れないようにね！パスワードは長くて複雑だから）

ところが、製造過程のミスで、玄関ドアに非常に小さな穴が開いていた。
ドアから超小型カメラを突っ込むと、誰でも外からパスワードが確認できる状態であったことがやっとわかった。
さらに、この製造過程のミスは数年にわたり誰も気づかなかった。（買った人も気づいていない）
しかも、この電子ロックは超売れ筋商品で、ありとあらゆるご家庭に普及。

現実の小さな穴なら「木片でもつっこんどきゃええねん」って話だろうけど、
プログラム上の穴は「木片突っ込んで終わり！」程度に直せるものでもない。

泥棒さん入り放題状態＝データ盗まれ放題！やばい！ってわけ。

>>1
>過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、
>システムメモリー上にある大量のデータを暴露することが可能だ。

あらゆるバージョン　→　1.0.1fまでの1.0.1

サーバやルータのメモリーバッファを全て読み出す様な記述だけど
攻撃者がサーバの複合化キーを使って通信を複合できる
もしくは　過去に傍受し攻撃者側が保存している暗号化情報を複合できるということでは？

>>323
NASAにまかせとけば安心だよな

常にどこのサイトにアクセスしても通過してきたのはグーグル先生のお宅ですけど
先生がまとめてくださってるんでしょうなあ
そこに個人情報が暴露されてプライベート丸出しになってしまうわけだ

エロ同人DLサイト

バグがハゲに見えた・・
疲れてるのかな

ついにWindows Server で ASP.NET と SQL Server を使ってるﾔｼが勝ち組になるのか

>>283
人力で選ぶわけじゃないからな。
どこぞのサーバーに集積されたデータをハッキングし、その暗号化データをコンピューターで解析する。
解読できたデータをかたっぱしから悪用する　となると千、万の単位で悪用される可能性はある。

>>330
重大なハゲなどあり得ない
ハゲはつねにありふれたハゲでしかない

人体のセキュリティホールを突いた
ウィルスが原因のハゲかもしれんぞ

セキュ穴は、突破口でもある

分解禁止でおとなしく使ってる泥タブがあるんだが、あれもOpenSSLかな
外部への通信はhttpsばっかり証明書受け入れない

Bitcoin Coreバージョン0.9.1はバグフィックスバージョン1.0.1gにコアOpenSSLライブラリを更新するためにリリースされました。
バージョン0.9.1へのBitcoinコアセキュリティ更新プログラムは、24時間未満の発見の発表の後に来るHeartbleedバグ。

具体的には、OpenSSLのHeartbleedバグが攻撃者に暗号化されたSSL / TSLセッションに関連部分にメモリの内容を明らかにすることができます。
Bitcoinの場合、これは秘密鍵を明らかにすることができることを意味する。
Specific Vulnerabilities特定の脆弱性
OpenSSLライブラリの脆弱なバージョンを使用するすべてのBitcoinコアGUIは、以下のエクスプロイトに対して脆弱である可能性があります。
ユーザがbitcoinをクリックする必要がありますリンクを攻撃者によって制御されるウェブサイトを介して支払いを開始するために、ユーザの秘密鍵のいずれかが、攻撃者に送信することができること（可能性は低いが）可能である。
rpcsslオプションを有効にすると、インターネットからのRPCの接続を許可しているbitcoindのユーザーは、ホワイトリスト（-allowip）IPアドレスからの攻撃に対して脆弱である。
このシナリオでは、攻撃者がrpcpassword、最後のRPC要求を発見することができる可能性がある。
繰り返しますが、開発者が秘密鍵を攻撃者に送信することができることが可能（ただし、可能性は低い）であると考えています。
あなたは、rpcsslオプションを使用するか、BitcoinコアのGUIウォレットを使用する場合は、すぐにOpenSSLのバージョン1.0.1gにリンクされてBitcoin Coreバージョン0.9.1にアップグレードする必要があります。

>>80
リン・ミンメイの現在の姿をご覧ください

http://i.imgur.com/wFlJdvh.jpg

新しいwindows買わせようってこと？

OpenSSL使っていそうな貧乏な会社のサイトのネット通販は利用するなってこと？

amazonは(；・∀・)ﾀﾞ､ﾀﾞｲｼﾞｮｳﾌﾞ？

よく解らんけど、つまりインターネットが壊れたが本当に起きたと

windowsでいままでどれだけ被害を受けてきたかもわからない池沼がいるようだな

>このバグは、OpenSSLに2年以上存在していたが（2011年12月以来、OpenSSL 1.0.1～1.0.1f）、今日初めて発見され公表された。

C:\Program Files\Trend Micro\AMSP\module\以下略
libeay32.dll　(1.0.1.5)
ssleay32.dll　(1.0.1.5)

トレンドマイクロが1.0.1.5ちゅうのを使ってるんだけど
これやばいの？
どうすればいいの？

>>342
http://indy.fulgan.com/SSL/openssl-1.0.1g-i386-win32.zip

gに更新完了

セキュリティベンダーはさっさとリコンパイルしてオートアップデート流してくれ

>>343
アプデしろってことか
ありがとう

1.0.1.5は1.0.1eだね

全くわからん
サーバーやらを運営してない
普通にネットしてる奴はどうしようもないわけだな

元からＯＰＥＮＳＳＬなんて信用してないだろｗ

オープンソースは、何よりも商用と比べてプライオリテｘ管理も適当だし、

対応が遅いんだよ。

どういう現象で実感できるのか、さっぱりわからんな

過去2年以内のデータが抜かれてるかもって....
今更ネットで買い物するのやめても意味ないやん (´Д` )

NSAが海底ケーブルから集めて、
ウンコクラッカーがコッソリ重要情報を抜く。
泣くぞ、終いにゃ。

>>277
自己署名証明書の話なら……多分、どんな証明書を使ってるかは関係ない話だと思う。

>>351
2年以内のバージョンを使っている環境に影響がある、という話で、
2年前からの情報が残ってて盗み放題の状態になっているわけじゃない。
もちろん、2年前からこの脆弱性を把握している人がいたら、
その人は2年間から情報を盗めてる可能性があるけど。

OpenSSLの更新の必要なソフトとして
TeraTermの名前を見たけど何で？

これってサーバ側の問題じゃないの？

インターネットに脆弱性と言えば、DNSキャッシュポイズニング以来かな。
あれで俺はWindowsを辞めました。
下手な知識でサービスを設定してて感染したんだけどね。止めると大量に通信しだすやつで。
KerioFireWallの通信先制限の扱いが、ドメインじゃなくてIPだったんで何とか乗っ取られたのを気づけた。

今回のはクライアントOSでも更新が必要なのかな。
openssl_1.0.1-4ubuntu5.12_i386.debって検索したら出てきたけど、サーバなんて立てる技術は俺に無いんだが。

曖昧な知識で推測すると、各ウェブサービスごとに、脆弱性が有るOpenSSLで暗号化されたデータが既に流出してて、かつOpenSSLの脆弱性へ攻撃を受けてて暗号鍵が漏れてたらOUTなの？
最新版のOpenSSLで暗号化され直した顧客情報は、漏れてなかったら無事か。
暗号化通信でログインするようなサイトには、対応宣言が出るまで行かないほうがいいかな。
3DSとかもショップに入るのは止めとくか。

これサーバ内の暗号化データだけじゃなく、暗号化通信のデータまで復号化されるってこと？
二年以内にOpenSSLを使ってたウェブサービスで。
それだとデータが流出してなけりゃいい話じゃなくなる。
今からでも、該当VerのOpenSSLでアカウントや個人情報を暗号化してるサイトにログインすべきでないな。
平文のインターネット通信は普通に盗聴できるらしいけど、暗号化された通信も暗号化されたままだが盗聴できるのだろう？
それが復号化される方法が有るとなれば、脆弱性持ちのウェブサービスは今クラッカーに通信を監視されて攻撃の標的になってるはず。

もしも仮にAmazonに穴が開いたままなら、ログインしてアカウント管理に入れば購入履歴が筒抜けになるんじゃ。
もっと前に知ってて秘密鍵を盗んでた連中が、既に脆弱な暗号化通信データを取得済みならどうしようもないが。
今からやれることは、暗号化通信のサイトが安全宣言するまで近づかないことかも。

amazonクラスだとｓｓｌアクセラレータと言ってsslの暗号化複合化のみ処理するサーバを用意してると思う
そーゆーところは使ってないんじゃないかなOpenSSL
専用サーバとかVPSとかをレンタルしてssl使ってるところが危ないと思う

※推測です

ふるえるぞハート！燃えつきるほどヒート！！
おおおおおっ　刻むぞ血液のビート！

ふるえるぞハート！燃えつきるほどヒート！！
おおおおおっ　刻むぞ血液のブリード！

>>131
ﾏｼﾞｯｽｶ(;ﾟдﾟ)
CPANくらいしかできねえ低能はどうすればいいんだ・・

SSLアクセラレータの更新が面倒
まあ、XeonにAES-NI命令が出来てからは、
わざわざSSLアクセラレータ使うことも少なくなったが

暗号化通信データを普段から集めとけば、脆弱性が見つかったときに復号できるってことか。
2年前から全部集めてたのいそうだ。
破られない暗号化は無い前提で、暗号化して流す情報も考えないとな。
嫌儲でも話題になってたが、Torも対応待ちで危ないんだっけ。

暗号通信履歴が有ったら、後は気づかれずに脆弱性持ちのOpenSSL使用のウェブサービスを攻撃して、暗号鍵を盗むだけか。
今回の対応として、OpnSSLなんて安そうなもの使ってたサイトやプログラムは、発表からどれだけ早く穴を塞げたかで信用の落ち具合が変わるだろう。
放置期間が長ければそれだけ、ログにも残らない攻撃を受けて秘密鍵が盗まれた確率が高くなるはずだから。

Amazonは大丈夫だとして任天堂は大丈夫かな？
WiiUってどこの時点でネットワークIDを送信して認証してるのだろう。

>>360
大抵のディストリビューションでパッチあたったupdateでてるから、
OpenSSLのパッケージupdateしてhttpdとかMTAとか
ライブラリ利用してる奴らを再起動するだけ。

WEB閲覧くらいしかしてないWinPCでも影響あるの？

どちらかというとサービスを提供する事業者だな
特定の個人狙ってくる可能性は低いけど、サービスは狙われるわけだから

攻撃されるのはサーバーだけど
最終的に盗まれるのはあなたの個人情報かもしれません。

パターンA

①脆弱性のあるサーバーを攻撃し、会員のID、パスワード、個人情報などを盗む。

パターンB

①脆弱性のあるサーバーを攻撃し、SSLの秘密鍵を盗む。
②盗んだ秘密鍵を使って https 通信を盗聴する。
③ https だからセキュアだと思って安心してたら個人情報が筒抜けだったでござる。

アパッチて50%程度なのか
もっと多いもんかと

意外にIIS頑張ってるから

これって要するに過去の通信丸々記録されてない限り大丈夫？
もちろん、今からの通信は対策済みの必要があるけど。

>>369
通信をのぞき見るんじゃ無くて
サーバのメモリを直接読み取れる

>>370
メモリ………RAMですよね？

curlでクロールしてくるのがopensslのバージョン晒してるんだけど
何か期待してるのかな

まあ、つまり得体の知れない電子店舗に情報を
残すなって事だな。
楽天市場とかヤバそうｗ

そんなにビビることはない
例えるなら部屋の鍵をコピーされる脆弱性が見つかったってこと
脆弱性をほっとけば鍵がコピーされちゃうから対応しなさいってこと
鍵がコピーできるなら鍵の意味が無いからそういう意味でかなりヤバイ
通信を傍受されたらその通信内容は筒抜けだけど、サーバ上のデータが漏洩するような脆弱性じゃないよね

>>374
やばいのはサーバー側じゃね？

>>375
サーバだけど通信傍受するのは今回の脆弱性とはまた別の問題だよね
傍受されても暗号化されてるよってのがSSLが提供するセキュリティのひとつだから

いい人が初めて発見したのであって悪い人はもう知ってたかも
すでにキーが盗まれてる可能性を考えると
本当はSSLだけじゃなく鍵もつくりなおさないとだめなのでは
そうなるとどれだけの費用になるだろうか

opensslがApacheのモジュールとして動いてるときApacheがアクセスできるディレクトリにはアクセスできそうだけど
ディレクトリトラバーサルできるってことなのかな？
物理メモリ全部見れたらサーバごと乗っ取れるしSELinuxとか乗り越えられるんだったらバグといよりウィルス

>>377
だいたい無料で再発行してくれてるよ

今日１日keyとcsr作るお仕事だったよ、、、、、、

再発行は無料としても、
サービス元は相応の人件費掛かってるからな
対策費用も膨大か

>>378
秘密鍵盗まれて偽サーバ建てられるのが一番厄介じゃないか。

>>379
おまおれ

午前中はこれの対応で丸々潰れた

>しどこかのアタッカーが、いずれ解読するつもりでサーバーから山ほどの暗号化データを取り出して持っていたら？
>それらを解読するためのキーを手に入れているかもしれない（アタックしたサーバーの構成による。例えば、Perfect Forward Secrecyを使って
>設定されているかどうか）。

ちょっとだけ調べたが、PFSを使ってるGmailやTwitterは、「過去を遡る暗号解読（retrospective decryption）」されないそうだ。
通信ごとに違う鍵を使うんだってさ。
同一サービスの過去の暗号化通信って、この脆弱性以外でも盗られてたというか、普通に取れたりはしないか？

SSLでもOpenでないとかPFSされてるとか、証明書見たら分かるようにブラウザを作ってほしい。
FireFoxならそんなアドオンも出るかな。

とりあえずはこれで間に合わせるか。
Test your server for Heartbleed (CVE-2014-0160)
http://filippo.io/Heartbleed/

＋じゃapacheを知らない子が９割ほどなのかね

>>372
それ公開してよ

2ちゃんもさっき対策したみたいだな
●と浪人がログイン出来なくなった原因がそれだった

まあサーバサイドがなんぼ対応しようが
クライアントサイドが証明書を再取得しない限り
リスクは消えないんだよな

>>388
いままでならそんな理由つけてで放置しかねないから即日対応って事だけで驚いたわ

>>389
これに関しちゃ信用問題に発展しかねないし
即日対応せざる得ないわな

たぶん、リリース時に意図して仕込んであったと見るべきだな。

んで国内のサービスだとどこがやばいバージョン導入してんの？

>>392
とりあえずネットバンキングやってるとこで電話来たとこはヤバめ
東京UFGとか

>>393
東京UFGとかいう銀行はしらんけど
どっからも電話もメールも来てないから安心して寝ていいってことね

>>167
そんなことできたら今頃ロシアも中国もフルボッコだろ

箱入りのお堅いお嬢様かと思ったらガバガバのヤリマンだったて事か

shopserveがメモリ見れるな･･･

また代引き最強が証明されたか

>>337
取り返しの付かない状態だって事！？

つか、毎度来てる
このメッセージにはご注意ください。個人情報を騙し取るのに使用されていたのと同じ、不審なリンクが含まれています。
信頼できる送信者でない限り、リンクをクリックしたり、個人情報を返信したりしないでください。詳細

お客様
株式会社营团社サービスシステムをご利用いただき、ありがとうございます。
システムはお客様のアカウントが異常にログインされたことを感知しました。
下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願いします。

これを思い出したｗｗｗ

>>398
つ　購入履歴情報

おっ、地震ｗ

ハートビートにアタックかけて、ハートアタックか。
誰かぁ、ＳＳＬちゃんが鼓動をしていないの。

こういう公表は既にパッチ当ててからってのが通常

>>401
千葉？

SSL証明書発行業者各社はちゃんと脆弱性と再発行喚起のアナウンス連絡したのかな？
ホームページでまったく触れられてない業者も多いのだけど…

通信プログラムについては、
機械の命令語の部分は、ローダーによってメモリ上に配置格納するときに
命令キャッシュのラインのサイズ、たとえばそれが３２バイトだったら
３２バイト単位でもってランダムに設定された置換表によって置き換えて
格納しておき、ＣＰＵに持ち込むときに始めて逆の変換によって本来の
命令語のパターンに戻してから実行する機構を設ければ、バッファー
オーバーフローによってメモリ上の命令ではないデーターであるかの
ように命令語のデーターを上書きできるとしても、置換表がどうなって
いるのかを伺い知らなければ期待したとおりの動作をさせることは
できない。これにより、侵入者の思惑をくじき、あるいはある程度の率で
そのようなアタックが試みられていることを不正命令による異常終了の
発生により検知することが期待できる。

>>405
まだ事態と影響の範囲の把握、内部で対応マニュアルできてないだろうから
来週の月曜くらいから対応が本格化するんじゃないか

>>406
なんかよくわからんが、書き換え可能な領域に実行可フラグを立てなければいいんじゃないの。
スタック上で状態やリターンアドレスなんかを操作する手口については多分 >>406 で言おうとしてることは無意味そうだし、やっぱよくわからん。

ゲロヤバレベルだからデリケートな情報を扱ってるところはすぐアナウンスがあると思いきや全然ないのな
さっきアップデートしたから大丈夫とか言い出さないか不安

>>384
もっといいサイトがあった。
Qualys SSL Labs - Projects / SSL Server Test
https://www.ssllabs.com/ssltest
>The server does not support Forward Secrecy with the reference browsers.
とか、ドメインを入れたら(P)FS使用の有無まで出てくる。

ここで安全性が確認されたサイトなら、今のHTTPSを信用してログインしても大丈夫かもな。
今は対処したけど前に該当してたってのなら、アカウントのパスワード変更をしたほうがいいかも。
今の暗号化通信は安全になってても、前のは漏れてた可能性が有るから。

>>410
レーティングはAが１番良いんだよね
気になるサイト見たらFばっかりだった

amazonはBか

更新は簡単だが証明書の再発行が面倒だな

>>410
失礼ですがあなたはPFSとは何かを（人に説明できるレベルで）理解した上で書いていますか？

Dropboxは？

>>35
とりあえずネットで買い物したことがあるカードを
使用停止にすればいいの？

dmm.co.jpが「F」なのが怖すぎるわ

>>85

>>410
今回のHeartbleed attackにはnot vulnerableでも、
MITM attacksにはダメでFになるサイトがあるぞ

しかし、NHKの定時のニュースで数日間はトップ扱いされるべき緊急警告事項なのに
マスコミも主要サイトも、未だな～んにも無かったような我が日本国ｗ

>>420
この国のITに関する危機意識は更新国レベルだからな

これ、ヤマハルータのストール、再起動のやつと関連ある？

yodobashi.comも「Ｆ」かよ、ポイント早めに使い切って脱会
した方がいいかな？

米国紙ではヘッドライン扱いの大見出しｗ

今すぐパスワード変更を―セキュリティー脅かす「Heartbleed」（ウォール・ストリート・ジャーナル）
http://jp.wsj.com/article/SB10001424052702303373904579492623865487460.html

>>421
まぁ、おまえの日本語もそのレベルだしな。

よくわかんないけどパスワード変えればいいの

ニュースになるころには大半が籠絡済みなんだろうな

悪い人は、こっそりとサーバーのデータを盗む。
良い人は、堂々とさーばーのデータを盗んでみせる。

悪い人は、サーバーの善し悪しをよく知っている。
良い人は、サーバーの利点欠点をよく知っている。

>>420
著名なアナウンサーがパワーポイントを知らないんだから
事の重大さがわからないんだよ

>>424
今変更しても、opensslのうp終わってなかったら意味無しなわけですがそれは

伝書鳩の時代が来るな
そして元悪質ハッカーたちは鷹や鷲を飼う

ネットに個人情報ぶち込まないおいらはきょうもＸＰ

鯖は、早急に修正
ユーザーは、事前にダウンロードした人間が居ないことを神に祈る

SSLに穴なんて、本末転倒。
何のためのものなのかね。

>>431　不登校児って、そんあこと考えて一日がおわるんだな　がっこいけ

>>420
ＸＰのサポート期限切れ報道で、仮想化すれば大丈夫と言ったＮＨＫ様だからな。

>>436
煽ったせいで客が過剰反応しててLAN引き直させたりよけいに怖いんだが。

インターネットにつながないでLANだけでUSBメモリで運用するとか言い出したけど、
ウィルス対策は切れたままでいいとか言い出すし…

>>424
それ罠だよ
サーバ側の対処が終わってない内にパスワード変更なんかしたらそれを盗まれて乗っ取られる
対処が終わったって発表があるまでパスワード変更どころかログインもしちゃダメ

いいこと考えた、
CloseSSL　を開発する！

Google、Dropbox、Facebookはセキュリティコード送信でのログインに設定したからいいのかな？
Yahooはワンタイムパスワードにした。

銀行やカード会社系が、対処終わっているのか不明で心配だ。
今ログインしてパスワード変えると、逆に盗まれる可能性があるんでしょ？

ITは破滅の淵を綱渡りする業界のように思えてならない

>>437
がんばって説得
USBからウィルス感染したらLANを通じて全部のPCに移るよ、と
学級閉鎖でも例に出してがんばるんだ
XPPCはLANに繋いでたらインフルエンザ感染で脳症になって
死亡する確率の高い高齢者PCと同じなんだとか
XPは人間だと100才超で７は20才の若者とかいって免疫力の違いを説明しろ
ウイルス対策切れたままは老人がインフル流行の渦中に行くようなもんだと

>>436
仮想化かあ…すばらしいな（棒）

今回の件はできれば静かに対策終わらせてからニュースにしてほしい

>>423
Heartbleedは大丈夫って出るよ
ttp://filippo.io/Heartbleed

FreeBSDは

freebsd-update fetch
freebsd-update install

の２つのコマンドでOKでセキュリティパッチがあたった
リブートも必要無しで5分ぐらい

国内だとプライベートサーバとかレンタルサーバが問題の中心かな
国内大手は変なところでガラパゴスだったのが幸いして影響がほとんどなさそう

>>442
おおサンクス
今回、なまじ知ってる情シス兼総務部長みたいなとこが一番騒いでるから、そういう話の方が理解されやすいから助かるわ

>>377
NSA「何のことやらさっぱり・・・」

>>414
ごめんなさい、素人セキュリティです。
ちょっとググって、同じ暗号化鍵を使い続けないことで、過去に遡る情報漏洩を避ける物と解釈しましたが間違いですか？
開発者どころか管理者でもない、一ユーザークライアントとしての安全性追求だけを自己流でやってきたもので。

>>419
yodobashi.comもそうなのかな。
>This server is vulnerable to MITM attacks because it supports insecure renegotiation. Grade set to F.
>Insecure Client-Initiated Renegotiation Supported INSECURE (more info)
って出るが、中間者攻撃の脆弱性の詳細はよく分からない。
管理者にメールすれば直してくれるのかな。

Heartbleed attackでアウトなのは、inter7.jpくらいか。
あそこは元々オレオレ証明書だし、既に漏れてたけど漏れっぱなしなんだろう。

PFSとやらがワンタイムパスワード的に公開鍵/秘密鍵ペアを生成してやってるなら過去の物に関しては安全だろう
もとより使い捨てだけど、セッション鍵だけ使い捨てるんじゃ今回のようなケースに効果はないからね

>>449
もうちょっとだけ調べたけど、暗号化通信の前提になる鍵交換を毎回やる感じなのかな？
暗号化通信のセッションごとに異なる暗号鍵を使うのは元からか。

スノーデン絡みで対NSAの政治活動がどうとか出てきた。
TorがPFSに対応してなかったりすると、過去の通信の発信元の匿名性が危なかったりするのかな？

技術者としてでなく利用者としてのいい加減な知識だから、あんまり深入りしないほうが長生きできるかも。
親戚づきあいがなくて子供がいないし、子孫まで遺る汚名や迫害は気にしなくていい立場だけど。
自分が死んでからなら、実名と書き込み（購入検索閲覧）履歴が紐つけられて公開されてもいい程度に、それが恥さらし程度で済むようには行動したい。

>>420
たしかに普段ネット関係は不当にネガキャンするくせに

本当に大きな不祥事あったらスルーなんだなw

>>65
政府は物凄い数のPCを並列処理させてると思うんだ
何年もかかるかどうか。

アマゾンと楽天は入っていないようだな
ヤフオク使ってるやつザマァwww
yahoo.com
imgur.com
flickr.com
redtube.com
kickass.to
okcupid.com
steamcommunity.com
hidemyass.com（←ここはユーザーの個人情報をvpn.hidemyass.comに保存してるので大丈夫だそうです。直接米ギズモードに連絡がありました）
wettransfer.com
usmagazine.com
500px.com

>>26
MicrosoftもOpenSSL使っていたけどなw

>>450
どうも鍵交換にRSAの公開鍵で暗号化した秘密鍵(の元)を送らせる方法ではなくて
Diffie-Hellman鍵交換という方法を使うものを言うらしいね

出来る人はネットサービス会社に対応の確認してほしい
自分は今忙しくてできないんですまん
家族が地元のネットバンク利用してるんだがうまく説明できないらしいし
ちょっとしたらそれは確認してみる

>>339
Amazonは大丈夫だな。

これプロバイダも影響ある？
申し込みとかSSLだよね

つ)
http://www.netagent.co.jp/news/opensslheartbleedheartbleed.html

NHKトップ

www.ssllabs.comでチェックしたら
onedrive.live.comはFランクのも使ってる
Heartbleedはクリアしてるようだけど

lastpass.com/heartbleed/
ここから調べるとほとんどPossibly Unsafeでパス変更も待てって出るけど

sslcheck.globalsign.com/ja/
こっちだと逆にほとんど大丈夫そうだが実際どうなんだろ
しかし中間者攻撃に弱いとこばっかりで別の心配が出る

filippo.io/Heartbleed/　は反応してくれなかった

onedriveは使ってないんだけど
3ヶ所使ってたアップローダーで、1ヶ所引っかかたんで
そこはファイル削除した
速度早くて便利だったんけどさ

ファイルなんか削除しに行くなよw
そんなところは放置して同じパスワード使ってるところのパスワード変えないと。
クレジットカード登録してるところがやばければ削除しに行くのは意味があると思うが。
まあやばいファイルも削除はした方がいいが。

３回、勝手に請求されていたけど、これだったか。

チェック方法まとめ：OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 - ＠IT
http://www.atmarkit.co.jp/ait/articles/1404/10/news128.html

OpenSSLの「Heartbleed」脆弱性に便乗攻撃、陰謀説や政府機関利用説も - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1404/11/news053.html

うんもーなんなの！ageとくわ

>>446
参考になるなら良かった
他人事じゃないからなー
喩え話はその人が興味ある分野か
一般的によく知られてることでいくといいよ
騒いでくれてるのは無関心より全然良い
何かあったときの対策とか被るのはメンテ側になるから
しっかり説得せんと

>>467
何で心電図取る必要何てあるんだってことだからな
陰謀説だって出るだろう

>>467
ユーザー側に出来ることが無いって記事読んだけど大事になってるんだね
某所でチラッとニュース欄の記事を読んで騒動を知ったよ

？？？「それ見たことか、サーバーで動かすソフトってのは十分に枯れた古いバージョンのままにしておくのがいいんだよ」

>>470
PC内を検索して、該当するverのssleay32.dllとlibeay32.dllがあったら
念のために上書きしておいたほうがいいよ
ウイルスバスターや一部の専用ブラウザで使われてる

鈴木大輔さんこんばんは。

2年間放置
googleが発見
->googleによる個人情報漁り完了済み

>>474
なーるほど

googleは生データの方抑えてるから、
こんな暗号化されたものしか得られない不確かな方法に頼る必要ない。

例えば

googlebot がクロールの振りをしてサイトの秘密鍵を盗みまくる

google DNS (8.8.8.8 と 8.8.4.4) でDNS詐称して偽サイトに誘導

完全犯罪成立ですな

ヤフオク行ったーーーーーーーーーーーーーーーーーーーーー(泣)

openssl 1.0.1e-fipsってどうなのよ？

open何とかってのは、実は一番危険。誰が何を仕込んだかわからん。

これってダウングレードしろってこと？

ネット決済はやめて現金商売に戻すしかないのか。

apt-getやyumでアップデートしたけど1.0.1e-5が1.0.1e-15になっただけだぞ？
rpmとかで落としてこないとだめなの？

勘違いしているアホのために

・一般的なインターネット通信は、そもそもＳＳＬで暗号化をしていない
　（例えば2chとの送受信も暗号化していない）
・銀行webなどクレカ情報などを入力するwebサイトはSSLで暗号化している

このスレが伸びないのは訳分からんていう俺みたいな奴ばっかだからだろう
何も知らないから煽ることも嘆くことも出来ない

>>460
警察庁の注意喚起があったからかな。
https://www.npa.go.jp/cyberpolice/detect/pdf/20140410.pdf
の作成時刻が17時過ぎになっているようだし。
警察の文書は攻撃に対しての注意喚起だけど、本来なら危険な
大穴が…という時点で、海外メディアの後追いででも報じていて
当然だろうけど。CNN、ロイター、AFP等々、ネット関係のメディア
よりははるかに遅いにしても、すでに大きく報じていたわけだから。

ログインしないほうがいいって言うけど
登録してるクレカ削除しなくて大丈夫なのかな？

>>487
すでに収集されてれば今から消しても意味はない。
まだ収集されてないならサーバ内にあるだけだからそっとしとけば誰にも見られない。
ログインすればその通信を傍受・解読されて盗まれる可能性がある。
と言っても通信を傍受されてることなんてほとんど無いから、お前が通信を控えること自体はまず意味がない。
なので、さっさとログインして消しておく方が無難だとは思う。
まだ盗まれてなくてもこれから管理者パスワードとか盗まれないとも限らないし。

まあ、めんどくさいんでおれはそんなことしないし、普通に買い物もしちゃうけど。

>>366
その攻撃の仕方がわからんのだが
>>483
OSとバージョンによる
クグればまとめサイトがあるよ

昨日自分が使ってるサイトについて調べてたけど
あんまり大々的にニュースになってない割にどこも対応早いな
取りあえず金融系とSNSについてはパスワード変更しておいた

M$とかってのは、実は一番危険。誰が何を仕込んだかわからん。

OpenBSD, OpenSSLと訣別
tyamagch曰く、"daemonnewsの記事から OpenBSD Projectが、SUNから暗号化技術の寄付を受けたOpenSSLと訣別するらしい。Theo de Raadt氏は「Sunから寄付を受けたOpenSSLはもはや『フリーなソフト』とは言えない」と述べている。
IPFilterに対するpfなどの例からして、同じ機能のソフトを組み込むのだろうが、そのエネルギーには脱帽するしかない。 (daemonnewsには新しいソフトの名前は「OpenOpenSSL」？、「TheoSSL」？「FreeSSL」というちゃちゃがあった。)"

おおごとなのだけしか分からないage

誰か馬鹿にも解る様に説明してくれよ
小学生だってネット使う時代なんだぜage

で？結局どうすればいいの？
(´･ω･`)

俺が若ハゲで炉利好きってのがバレ無きゃ　ドーでもいいわ

クレカのサイトに不正アクセスの案内が載ってたな
バグありのバージョン使ってるかどうか調べてやがるのか

>>480
openだから発覚したんだが?
closedだと全くわからず使ってる可能性が高い。

まぁクライアントPCは影響はないと思うが libeay32.dll と ssleay32.dllを検索して
バージョンを見て 1.0.1.6以前だったら 1.0.1.7以降のものに入れ替えとけ。

0.9系は対象外

>>483

CentOSやRedHatは1.0.1gにするんでなく、1.0.1eベースにパッチ当てで
配布だから 1.0.1e-15で対処済みのはず。
どっかに各ベンダーの対応バージョン一覧があった。

もう大体対応しただろうから、2年前から数日前までに穴が空いてたサイトの一覧を公表してくれ。
PFSに対応してたTwitterとかなら、仮に脆弱だったとしても鍵が毎回違うから狙われてないと思うけど。
その期間に漏れたのは仕方ないから、パスだけ変えとく。

どのサイト使ってたらヤバイの？
誰か教えておくれ

>>232
pingみたいなもの

FWのセッションテーブルから落ちないようにSSHが飛ばすHeartbeatと同じ？

>>484
ドヤ顔で書き込んだのがそれ？

>>502
ぶっちゃけヤバくない

チェックサイトでチェックしてみて未対応ならそこの管理体制はかなりヤバい

>>504
keep-alive用途ってことだから同じだろうね。

仕組みとしては、こちらから送ったデータをそのまま送り返してくる機能だそうだけど、
送る側が実際のデータ長と違う数値を、ヘッダーのデーター長エリアに記載して送ると、
その記載されたデーター長のデータをメモリから拾って送り返してくる。

送るデータが０バイトなのに、ヘッダーに64Kバイトと書いて送ると、サーバーは
受信バッファのメモリ領域64kバイトを切り取って送り返してくるらしい。

受信バッファには直前に受信したデータとかが残ってたりするから、それが流出してしまうという。

>>507
あんまよう、わかってないから勘違いだったらごめんなさい。
open-SSLの、keep-alibe(ハートビート？)機能ってのは

宅急便でいえば

クライアント：「あなたに64kgの荷物を送ります（送り状に内容物64kgと記載）」
→サーバー：「はい受け取りました、64kgの荷物をそのまま送り返します」
荷物が送り返されてくるかで、「通信相手のサーバの生死を判断」している。

ところが、今回の場合、

クライアント：「あなたに64kgの荷物を送ります（送り状に内容物64kgと記載）（だが中身は実は空）」
→サーバ：「はい受け取りました、だけど空っぽなので私の持っている荷物、64kg分（これが暗号化用の情報が格納されていることがある）を入れて送り返します」

って感じ？

>>508
>→サーバ：「はい受け取りました、だけど空っぽなので私の持っている荷物、
>64kg分（これが暗号化用の情報が格納されていることがある）を入れて送り返します」

サーバーは送られてきた荷物が64kgあるのか、からっぽなのか確認せず伝票に
書かれている64kgというのを見て、そこら辺にあった荷物64kgを送り返すって感じかな。

サーバー側が伝票だけ見て、実際に送られてきた荷物を確認していないのが、
今回の事態を引き起こしたんだよね。

>>509
ありがとうございます。勉強になりました。

>>502
今はもう大体対応済みだけど、
一応パスワード替える程度はしておいた方がベターかも
まあこういうの無くても定期的にやった方が良いんだけど

>>483
ディストリビューションの1.0.1eは対策済みと未対策のバージョンが細かい末尾
の番号で分かれるようだ

gmailはパス変更不要でFA?

プログラムのバグの結果でなく、
意図的にプログラムされたものだとしたら

>>514
どういう理由で必要だと思って実装したのか
その実装した人に聞かんと分らんだろうね
これが無いバージョンのものでもなんら問題は無かったわけだから。

はぁ？

HeartBeat Extension は RFC6520 で規定されている TLS の正式な機能ですけど…

思いつきで実装するわけねーだろ

RFC6520を１００回読めカス

なんでそれがRFCに盛り込まれたか、まで話が広がるだけだろ。
そっちはソースコード追っただけじゃ分からん話だし。

RFCに書いてあるから読め
読んで納得いかなかったらまた来いや

>>25
軍の極秘機密の兵器なのに部外者や敵軍が簡単に操縦できてしまう。

>>516
“なぜTheo de RaadtはIETFに激怒しているのか”で検索してみたら
リンク貼りたかったけど貼れなかった