OpenSSLに重大なバグが発見される

このエントリーをはてなブックマークに追加
1番組の途中ですがアフィサイトへの転載は禁止です

OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性
http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/

セキュリティー研究者らが “Heartbleed“と呼ぶそのバグを悪用すると、
過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、システムメモリー上にある大量のデータを暴露することが可能だ。

問題のバグは、OpenSSLの “heartbeat” という機能の実装に存在する。そこから “Heartbleed” と名付けられた。

このバグは、OpenSSLに2年以上存在していたが(2011年12月以来、OpenSSL 1.0.1〜1.0.1f)、今日初めて発見され公表された。
さらに悪いことには、このバグを悪用してもその痕跡はログに残らないようだ。
つまり、システム管理者は自分のサーバーが侵入されたかどうかを知る術がない。されたと仮定するほかはない。

The Heartbleed Bug
http://heartbleed.com/
2番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:24:41.99 ID:XHjlCnFh0
NSAとかが使ってるネット通信を全部監視するロジック打破の方が先だろ
3番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:25:39.12 ID:AN1CrzB90
4番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:26:53.47 ID:Uyilqv5/0 BE:268942135-2BP(1000)
5番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:27:33.04 ID:PjbfV5x20
おいおい…
6番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:27:46.49 ID:0U8i2pap0
どうすんだこれ・・・
7番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:30:28.61 ID:dOj317qZ0
sslとsshと違いが分からない
8番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:30:51.46 ID:zFyrSRV/0
これはやばい
httpsは開かんほうがいいな
9番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:31:27.58 ID:DRDXWhJa0
これあかんやつや
うわ…これって…つまりどういうこと?
ソースにある
>「私は爆発物処理技術者だ、私が走っているのを見たら、起きていた方がいい」。
って起きていた方がいいじゃなくて、付いてきた方がいい、一緒に走った方がいいって意味じゃないの?
ゆうちゃn
これ多分、明日リリースのWin XP最終パッチに間に合わないだろうから、XP完全死亡だろ…
14番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:35:19.77 ID:6iW679hz0
よく分からんけどユーザーの側には問題ない感じ?
15番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:37:31.13 ID:q1NV95PA0
これはちょっとヤバイんじゃねえの?
yum update実行したらopenssl.x86_64 0:1.0.1e-16.el6_5.4.0.1.が出てきたがこのバージョンで修正されているのか?
17番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:38:46.55 ID:VaogqcK60
XPとか関係なくね?
あ、WindowsのSSL実装はOpenSSLじゃないのか…
なら、大丈夫なのかな
19番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:42:29.23 ID:DihkeEs60
メモリー上からトークン吸い上げられて、なりすましに利用されるな
20番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:44:07.05 ID:dr6PPoox0
パッチ早く来てくれー!!
https://launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12

SECURITY UPDATE: memory disclosure in TLS heartbeat extension


Ubuntuは修正されたみたいだな
22番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:45:47.27 ID:ZKllh0bc0
> The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software.
ワロタ
ノーガード時代にいよいよ突入してきたな
TLB heartbeatを無効にせずにビルドしているサーバー、クライアント共に64KBまでのメモリが
リークされるみたいだけど、イマイチ影響範囲がよくわからんな。しかし、Googleはこの手の
バグをよく見つけるな。

OpenSSL vulnerabilities

This page lists all security vulnerabilities fixed in released versions of OpenSSL since 0.9.6a was released on 5th April 2001.

2014
CVE-2014-0160: 7th April 2014
A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64kB of memory to a connected client or server. This issue did not affect versions of OpenSSL prior to 1.0.1. Reported by Neel Mehta.

Fixed in OpenSSL 1.0.1g (Affected 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)
25番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:49:13.45 ID:DihkeEs60
Ubuntuはアップデートがもうリポジトリに来てるね
26番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:49:20.47 ID:IkiNJ6DK0
>>16
1.0.1gまでアプデしなきゃダメ
>>26
今makeしてるわ
お前らもここからやっとけ
https://www.openssl.org/source/
お家帰ったらemerge -uすんべ
29番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:54:06.45 ID:Uyilqv5/0 BE:268942135-2BP(1000)

>>21
LTSはいずれ修正されるよね?
>>24
http://heartbleed.com/ のFAQに書いてあった。一回のリクエストでとれる情報は64KBまでだけど、
繰り返しリクエストすることによりいくらでもデータを持って行けるってことか。これは終わったな。

Can attacker access only 64k of the memory?

There is no total of 64 kilobytes limitation to the attack, that limit applies only to a single heartbeat.
Attacker can either keep reconnecting or during an active TLS connection keep requesting arbitrary
number of 64 kilobyte chunks of memory content until enough secrets are revealed.
>>11
爆発物処理班についていったら危ないだろ・・・
32番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 13:08:52.24 ID:zLdfSoIC0
>>7
ssl・・・ Webの暗号化(https)に使われる通信プロトコル。
apache+opensslライブラリの組み合わせが鉄板

ssh・・・ UNIXにリモートログインするのに使う。opensshサーバが業界標準。

このopensshに限らず、フリーソフトで暗号化通信をサポートするソフトの多くは、
opensslライブラリを使っている。
ネットワークアプライアンスのsshログイン機能とか、殆どopensslだろう
ライブラリのどの部分がアウトなのかにもよるが、影響はでかそうだ
33番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 13:13:34.42 ID:wqofv1yJ0
要はネットワーク越しのオーバーフローか
ハートビートって接続を維持するための定期パケットだろ
そんぐらいちゃんと作っとけよな
TorもOpenSSL使用して動いてるから危ない
exploit修正版openssl込みのバージョンアップされるまで使わないが吉

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7295
35番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 13:23:40.16 ID:j1Q8fHTu0
https://www.google〜  ← これ経由の情報も抜き取ってる事の言い訳だろ
openssl入ってるだけでダメなの?サーバ触り始めたばっかでよくわからない
webサーバとか立ててないんだけど
37番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:14:39.95 ID:Uyilqv5/0 BE:268942135-2BP(1000)

>>35
最近GoogleはGmailを強制SSL接続にしたらしいな

あっ……!
38番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:16:30.90 ID:gIA70+zS0
Open2chの開発者にクレーム入れたけど・・・以下略
39番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:22:29.27 ID:gIA70+zS0
40番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:27:27.92 ID:FzFKnZSg0
これすげえなw
41番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:31:16.88 ID:FCC+7lMb0
確認ツール
試しに自分のサーバと2chに使ってみたけど大丈夫っぽい
https://github.com/titanous/heartbleeder
42番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:32:16.93 ID:FzFKnZSg0
さっきうちのPCにupdate着てたけどこれ関連かな
43番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:32:27.15 ID:PZpcj59l0
ttps://github.com/titanous/heartbleeder

これビルドして使うと特定のサーバにこのセキュリティホールあるかどうかテストできるよ
44.:2014/04/08(火) 15:33:34.11 ID:K7SPKitU0
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
45番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:35:18.33 ID:FCC+7lMb0
ブラウザから出来る奴はこれ
http://filippo.io/Heartbleed/
46番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:44:36.23 ID:FCC+7lMb0
やってみたけど全然引っかからないから>>45は本当にチェックしてるのか?と思ったら
ssl.tv-osaka.co.jpが引っかかった
47番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:50:36.21 ID:DajKstAm0
IPsec周りが不味そうだな
お前らUDP500ポートにアタックしたりすんなよ
48番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:54:43.37 ID:+c5xeUR60
うちの鯖ももちろんアウト

./heartbleeder 127.0.0.1
INSECURE - 127.0.0.1:443 has the heartbeat extension enabled and is vulnerable
49番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:58:03.27 ID:PZpcj59l0
これってクライアント側はなにもしなくて大丈夫なの?
50番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:59:15.95 ID:2QvtEEKT0
>>16
redhatの標準リポジトリじゃアップデート遅い
51番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:00:58.38 ID:o+MohjP90
googleすげえ
よく見つけたな・・・
52番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:02:20.98 ID:PZpcj59l0
ハッカー「あーこのバグ知ってるわー、2年前から知ってたわー」
53番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:02:32.74 ID:DajKstAm0
やっぱりRHEL系のデフォルトは対応遅いな
うちのCentOS6はまだ1.0.1eだった
54番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:06:44.26 ID:+c5xeUR60
OpenSSL 1.0.1gに上げて対応完了

./heartbleeder 127.0.0.1 │・・・・・・・・・・・・・・・・・・・・・・・
SECURE - timed out while waiting for a response from 127.0.0.1:443
55番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:09:27.37 ID:FCC+7lMb0
>>16
それはHeartbeat機能が無効化されたやつ
http://www.spinics.net/lists/centos-announce/msg04910.html

パッチが当たってるのは openssl-1.0.1e-16.el6_5.7
http://www.spinics.net/lists/centos-announce/msg04911.html
56番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:09:28.91 ID:DajKstAm0
すまん、CentOS6だけど、1.0.1eながらheartbeat無効にしたビルドに変わってるみたいだ
57番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:09:38.95 ID:QLVv8zf30
上級パソコナーならすぐに対応しそうだな
>>45
いろんなところ当たってるけどなかなか無いなあ
59番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:12:41.44 ID:DajKstAm0
>>55
ってパッチ当てたの来てたか
情報おせーな俺…
60番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:16:06.36 ID:P+5YLTW80
これ悪用されまくったんだろうな
0.9.8系はセーフ?
>>58
服 site:https://
靴 site:https://
とかで物販サイトをググると10件中1件ぐらいの割合で見つかるぞ
63番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:45:07.78 ID:DajKstAm0
>>61
問題なし
影響を受けるのは、1.0.1fまでの1.0.1系と1.0.2-beta1らしい
>>63
サンクス
新しい鯖が被害を受けるとは皮肉だな
65番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:48:49.59 ID:9e6QdG280
クッソヤバいじゃねーか、これ
66番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:50:29.45 ID:ZTiQmjFo0
鯖側だけの話か?
67番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:52:16.95 ID:rHWYkQHK0
そうそうvarUPしないし
1.0.1なんて使ってる所なんて滅多にないだろうから問題無し
68番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 20:08:54.91 ID:zAERLztZ0
よく分かんないので誰かドラゴンボールで喩えてくれ
trickが運用板壊したのこれのTestツール?
https://www.openssl.org/

帰ってきてから落とそうとしたらメッチャ重いwwwww
71番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:24:26.29 ID:ZTiQmjFo0
あー通信相手のプロセスのメモリが見えるって事はクライアント側もまずいんだな
72番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:34:38.46 ID:2ArKqion0
前もなんかあったなと思ったが別の件?
【緊急】Linuxサーバーがウイルスで壊滅。うち半数近くは管理者不在で被害拡大中。【停止】
http://maguro.2ch.net/test/read.cgi/poverty/1395361785/
>さらに悪いことには、このバグを悪用してもその痕跡はログに残らないようだ。
>つまり、システム管理者は自分のサーバーが侵入されたかどうかを知る術がない。されたと仮定するほかはない

つまりECサイトとかで情報流出があっても、あったかどうかも分からないって事?
74番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:43:39.78 ID:iZ0Y8Zc/0
こういうニュース見るたび思うけどスーパーハッカーさんは悪い人少ないんだろうな
グーグルクロームみたいなもんじゃん
そんな騒ぐほどのものか?
yum update でいける?
78番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:53:43.30 ID:6UTBZsJ30
途方もない作業量になるな
なんか今日更新したわ
>>78
シェアードライブラリ(WindowsのDLL)なら
opensslの入れ替えだけで終わる。
81番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 22:18:42.45 ID:5K5C9p6+0
調べたらPC自体にそんなファイルがなかったんだが、意図的に入れないと入らないものなの?
82番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 22:27:51.13 ID:iIfqxQJW0
なおIISは影響を受けない模様
>>77
CentOSいけた
まじかよ

やべえやんこれ
ハッカー集団や米軍あたりは絶対気づいてたな、これ
86番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 23:36:14.16 ID:eOlNdxuwO
>>31
爆発物処理技術者が走っている=手遅れで爆発する=倣って逃げた方がいい
ってことでそ
なるほどー
>OpenSSLが走るシステムで、システムメモリー上にある大量のデータを暴露することが可能だ。

該当プロセスのメモリだけでなく??
89番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 23:42:25.75 ID:c2LbfTXF0
こういうの他にもあるんだろうなあ
ああ秘密鍵が盗られる恐れがあるのか・・・
91番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 23:52:16.98 ID:rtuRaCR/0
gentoo来てた
けど自分だけ更新しても安心って訳じゃないのが…
92番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 00:00:12.94 ID:KxLt/xfN0
境界値バグなの?
なんかちょっと無効な数字を入れただけでオーバーフローしちゃうみたいなしょーもないバグだったの?
>>45で調べてるけど
全然大した事無いな
大騒ぎしすぎだわ
auのお客様サポートページはアウトかよ・・・
cs.kddi.com
95番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 00:04:03.45 ID:DxyBGoHs0
えーとこれインターネット市場最悪の事件なんだけど
>>13
Windows の Crypto API は OpenSSL とは無関係
パッチあてたわ
おまえらありがとう
ガチで酷かった
しかも1.0.1eだし…
99番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 04:32:44.64 ID:QU0cpS8Q0
2chサーバのほとんどは難を逃れたが
なんかひとつそれっぽいのがあったようでみの人が対応中
影響範囲やば過ぎなので周知age
んな1.0.1系なんて使ってる鯖はごくごくごくごくわずかだろうに
いや別に名付けなくていいからw
102番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 05:30:17.23 ID:O+IVFTo70
サーバー管理者の一部にはこの脆弱性公開の前に教えてたってあるけど、そいつらに悪人がいたらやばいんじゃないの
103番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 05:32:54.16 ID:ggD/NcNy0
View使ってる俺涙目
念のため関連したextをリネームした
104番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 05:33:56.55 ID:5GTOre0B0
ついにGnuTLSの時代が来たか
Androidは大丈夫なんか?
106番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 06:31:18.15 ID:M4FiECHL0
大丈夫なわけないだろw
107番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 07:09:59.70 ID:oFuIc1P70
情弱にはよく分からん
https://
にアクセスしちゃダメってこと?
108番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 07:14:35.68 ID:brljkucA0
マインクラフト出来ないなと思ったらこういう事か
googleの株価が560$台になって喜んでるアホン厨がいたりして・・・w
これ、該当サーバは

パッチ当て→SSL証明書再発行

が証明局のオススメになってるもんだから、手間が半端ない。
洗い出しだけでも一苦労なのに、再発行の手続きががが。

ちくしょう、仕事増やしやがって。。。
OpenSSL Bug Allows Attackers To Read Memory In 64k Chunks

Posted by Unknown Lamer on Monday April 07, 2014 @08:02PM
from the check-your-bounds dept.
http://it.slashdot.org/story/14/04/07/2354258/openssl-bug-allows-attackers-to-read-memory-in-64k-chunks


OpenSSL の脆弱性に関する注意喚起

各位

JPCERT-AT-2014-0013
JPCERT/CC
https://www.jpcert.or.jp/at/2014/at140013.html
112番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 09:00:58.44 ID:0yLXSK3k0
素人の俺に教えてくれよ
アプリケーションでOpenSSL使ってるのは大丈夫なの?
BItcoinに使われてて少し心配
>>110
認証局からは俺たちとは違う悲鳴が聞こえてきそうだな
114番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 12:30:21.37 ID:nFGxP1G60
>>112
スレに出てるツール自分で取ってきて確認してみ
115番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 12:32:55.10 ID:ncpbbexk0
外は危ないな(´・ω・`)
116番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 13:29:52.27 ID:TD7ctje90
対策されてない鯖が根掘り葉掘りされるな
ここ1ヶ月注意必要だわ
117番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:18:25.08 ID:ovtnPcRt0
ウェブ見るだけの一般ユーザーにも関係あるのか?
firefoxで悪者の https:// なアドレスのページを開くだけで、自分のPCのメモリー吸い出される? それは無い? どうなの?

それともメモリー吸い出されるのはサーバーだけ? サーバー運営してる人だけが注意すればいいのか?
よくわからん。
118番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:20:31.97 ID:0PHupJwD0
>>117
例えばあなたが銀行口座にログインして、そのときにその銀行の
ウェブサイトが攻撃された場合、ログインIDとかパスワード、残高
などいろいろな情報が抜かれます。
119番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:25:50.09 ID:jyW1PXhP0
個人のPCでできる事は何もないわけか
120番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:31:42.51 ID:eEF5v7eo0
Heart Bleedを読んだ
http://lewuathe.com/blog/2014/04/08/opensslfalsecui-ruo-xing-wodu-nta/

めっちゃ初歩的でありがちなミスだな。
向こうから送られてきたpayload長をチェック無しでまんま食ってる。
121番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:33:00.92 ID:ovtnPcRt0
>>118
なるほど。メモリー吸いだしされるのはサーバーだけなのね。
俺ら一般ユーザーのPCから直接メモリーを吸い出しされる心配は無いといことだね。安心した。サンクス!

https:// なショッピングサイトとかでパスワード入力しないようにしてれ一般ユーザーば安全なんだな?
でもそれだとネットショッピングとかできなくね? どうすんの? こまるんだが!
122番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:36:40.15 ID:kpYmd63a0
>>46
もう塞いでるじゃん
auはダメダメw
123番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:44:02.50 ID:Khj52f0M0
あーこれはゆうちゃん大勝利だは
124番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 17:18:09.35 ID:KBzzOTOS0
これ結構危ないの?
125番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 19:00:12.65 ID:EAsAqwYd0
どっかで全てのサイトのパスワードを変えた方が良いって読んだんだけどマジ?
126番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 19:02:58.14 ID:4ZHpp/aT0
>>120
この前発見されたAppleのSSL実装バグも必要のないgotoをしてたことが原因らしいし
脆弱性の正体なんてそんなもんなのかもしれんな
127番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 19:07:30.00 ID:e6mBSrNk0
>>81
WindowsはOSSは利用していないから意図的に入れないと無い
Linuxならほぼ標準
あーこのせいか
Google検索の挙動が今日おかしいんだよな
midori使ってるのなんてケンモで俺くらいかもしれんけどさ
ffftpなんかは対象に入る
130番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 20:45:32.51 ID:3rE2jXnM0
依存関係がもっとも激しいヤツじゃん
関連するライブラリはほとんどビルドし直しになるんかコレ

ただ、winは1.0.1ってビルド出来たっけ?
ウチじゃ出来なくて0.9系使ってる
131番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 20:49:41.18 ID:3rE2jXnM0
んでsslだけビルドし直したがまだパラレルメイクのバグ直ってないのか
fからのpod_syntaxのパッチ当てないとリンクでエラー出るし、gnutlsの時代にならんかなー
132番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 20:59:34.83 ID:FRnrC/LK0
xrea とかさくらのレンサバはどうなん?
133番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 21:01:16.92 ID:On5Q8c4k0
マジかよおーぷん2ちゃんねる最低だな
134番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 22:43:32.06 ID:wvbBYLvG0
>>13
氏ね捏造ゴミチョン
135番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 22:47:26.78 ID:WOhECxV30
これって秘密鍵と公開鍵のペアが大量にばれるってこと?
だとしたらネットの暗号全てが詰んでネットビジネス終了だよな??
136番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 22:50:54.65 ID:QU0cpS8Q0
各所のアップデートが終わるまではユーザも一応警戒せんとまずいわな
共通パスとかクレカのセキュリティコードとか、ほぼ単品でも巻き添えで漏れたら怖いもんはたくさんある
137番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 22:52:20.71 ID:6xK3lSny0
おまえら何語はなしてんの?
138番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 23:09:09.79 ID:Zoq0iXsX0
ヤバすぎるスレはあまり盛り上がらない
十代のバックを発見
140番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 23:12:09.28 ID:GvV0gkv10
1.0.1とか未来に生きてるな、お前ら

うちのWebサーバだとだいたい0.9.8使ってたわ、よゆーよゆー
141番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 23:13:34.32 ID:nFswriBR0
そこらのサイトのデータ大体とりほーだいだぞーいそげー:-P
# emerge -u opensslで、無事1.0.1gへ上がった\(-o-)/

ちなみにフォーラムとか読むと、opensshの方はopensslライブラリの影響は
受けないっぽい模様…
143番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 23:53:47.95 ID:lwUhlwbwO
>>138
Win8系がアンドロイド並に勝手に情報を送信してるスレも全然延びなかったな
くわばらくわばら
144番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 23:55:56.45 ID:e4MdTbdX0
0.9.8と1.0.0ばかりで助かったが
恐ろしいバグだったな
145番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 02:27:20.64 ID:15NTUPWG0
クライアント側はどうにもできないよね
2chはダイジョウブだってCMが言ってたな
147番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 02:37:57.70 ID:/JCYqif60
XP終了に追い打ちきたか
148番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 02:59:40.60 ID:E8JR1Yo20
一体何が始まるんです?
149番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 06:49:55.60 ID:mPiDy28s0
>>146
浪人と●の鯖が当該バージョンだった
昨夜突然つながらなくなったと思ったら、JimがOpenSSLのアップデート作業してたらしい
なおCMは病気でぶっ倒れてた模様
>>39
ワンタイムパスをOTNPって略す人って…
わざとだろ
152番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 11:02:29.94 ID:+/dM5UDi0
該当だったけど会員にパスワードリセットさせたほうがいいのかね
153番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 11:07:04.81 ID:IOS7HELT0
心臓出血、心臓破りってトコか

任意のメモリアドレスを読み出せるバグって事かな
154番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 12:16:19.18 ID:63858eWO0
>>138 だよな?w。視線回避レスが続くし、否定厨とか涌くしw。

俺がローカルドライブを検索したら、FFFTPとaviraが使ってたよw。
サーバー証明書の秘密鍵を抜くことができるから、なりすましサイトに正式なサーバー証明書を組み込むことができてしまう。
DNSの改ざんと組み合わせれば、なりすましと判別するのが困難なフィッシングサイトが出来上がる。

ユーザーの不利益として考えられるのはこのあたり。
156番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 18:31:28.52 ID:79FpNXPg0
え、これ激やばじゃないの
なんで伸びてないの?!!
世界的にヤバすぎて話題にできないレベル
158番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 18:50:15.75 ID:edQlQvTk0
結局何がヤバイんだよ
httpsにアクセスしたらいろいろぶっこ抜かれんの?
159番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 19:05:39.71 ID:TJzGOKeZ0
squeezeはおkか良かったわー
lan内のpcは念のために鍵変えとくか
160番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 19:19:56.51 ID:Zp43XBLu0
>>155
これやべえな
今のうちに秘密鍵抜いておいて、騒ぎが沈静化した頃に抜いておいた秘密鍵を悪用すれば完璧
狙われやすい大企業なんかは秘密鍵をまた新しく生成してるんだろうか
161番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 21:05:47.35 ID:ozbi2g290
GnuTLSも先日セキュリティ関連のバグやらかしてなかったっけ?
162番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 21:41:21.98 ID:75HWI9lz0 BE:547453926-PLT(13000)

>>1の続き

で、何が問題なの?
脆弱性があるバージョンのOpenSSLを採用しているサイトはこのリスト(https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt)の一番上にある45のサイト(確認した海外分だけで)。
サイトがOpenSSLの穴を塞いでも、まだ解決にはなりません。鍵を付け替える部分の作業が残ってます。鍵を挿げ替えた後でも、その前に漏れてしまった情報は二度と回収できないので、不安が一生つきまとうことに。
幸い決済の大手は大丈夫です。例えばAmazonもGoogleもMicrosoftも「not vulnerable(脆弱性なし)」でセーフ。しかし、ひょっとすると今回の脆弱性の被害は未曾有の規模かもしれませんね。確かめようもないことですが。
当面できることは限られています。とりあえず上記のリストで「vulnerable(脆弱性あり)」と記載のあるサイトには近寄らないことです。サイトが穴を塞ぐのを待って、パスワードは変更、という流れがいいと思います。

http://www.gizmodo.jp/2014/04/heartbleed1011.html

ニュース
ウェブ暗号化ソフトに重大なバグ、個人情報流出の恐れ
http://jp.reuters.com/article/topNews/idJPTYEA3907H20140410

The Heartbleed Bug
http://heartbleed.com/ (英語)

OpenSSLに重大なバグが発見される
http://maguro.2ch.net/test/read.cgi/poverty/1396927362/

重複しますが、ヤバすぎるので立て直しました
163番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 21:44:16.25 ID:75HWI9lz0
誤爆った
>>162のtop1000.txtをみて、現状を試してみたが日本でも多くみるドメインは対策されてるな
気になったのが No SSL: 512 Vulnerable: 48 Not vulnerable: 440 とあるんだけど
実際全体:vulnerableをカウントすると1048:96行あるんだが…
ああすまん最初にvulnerableなところをまとめて出してるから重複してるのか
166番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 22:01:45.13 ID:AUkR/ACQ0
オープン系扱ってるベンダとか大丈夫かこれ
あんまりにも新しすぎるVersionを入れるってのも、
考え物なのかもな。
0.9.8.0でyじゃないの見つけちゃったじゃん、確認中
169番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 22:57:07.96 ID:aO/al7Bn0
本家のセキュリティアドバイザリ
気になる奴は読んどけ。
ttps://www.openssl.org/news/secadv_20140407.txt
170番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 23:22:38.87 ID:Fr8FGEgX0
>>74
悪い人はみんなにお知らせなんてせんから目立たんだけや…
>>74
スーパーハッカーさん達にも悪い人や良い人両方いるんや・・・
悪い人は、見つけても報告しないし、良い人が見つけて報告した情報を悪用するんやで・・・
うちの会社、これの危険度わからない人が7割越えてるんだが
エンジニアしかいないはずなんだが・・・
んなもんIT業界で働いてれば当たり前のことだろ 3割わかってるならすげーよ
174番組の途中ですがアフィサイトへの転載は禁止です:2014/04/11(金) 03:13:51.59 ID:KxuhRjZI0
>>132
さくらの管理してるレンサバは問題ないみたい。もちろん専用サーバとかは別。

http://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=887
【重要】OpenSSL1.0.1に含まれる脆弱性について
> ※さくらのレンタルサーバ、さくらのマネージドサーバについては影響ありません。
端的にいえば通信は暗号化されててもピア内ではクリアテキストなわけで
セキュア通信のつもりが自分のID/パスワードを暴露してる"可能性がある"って感じか
176番組の途中ですがアフィサイトへの転載は禁止です:2014/04/11(金) 05:35:52.19 ID:zBSv4v2N0
Viewが対策されたね
Viewて?
178番組の途中ですがアフィサイトへの転載は禁止です:2014/04/11(金) 06:24:02.78 ID:VA2sETns0
>>177
2chブラウザだよ。念のためにOpenSSLアップデートしたみたい。新BEにも対応
JaneView
http://toro.2ch.net/test/read.cgi/win/1376782567/938
>>173
IT業界でマネージャとか鯖構築を生業にしてる奴でも、SSLとSSHの区別が付いてない奴がいっぱいいるよw
180番組の途中ですがアフィサイトへの転載は禁止です:2014/04/11(金) 10:15:43.83 ID:Q3OI5hRG0
周知
>178
あ、やっぱり
thx