[20140412追記] OpenSSLのHeartbleed問題がかなり広範囲に影響を及ぼしている、しかもかなり深刻かつ致命的な問題という認識が広まりつつありパスワードを今すぐ変更せよと訴える情報サイトもあるらしい

国内では小保方問題でもちきりであった一昨日・昨日あたり、世界中ではHeartbleedバグ問題で話題沸騰だったわけですが、OpenSSLを利用しているHTTPSなサーバやらVPNなどを運用しているサイトは昨日今日で入れ替え激務になっているかと思うと心が痛む……。もっともサーバ管理者のみならずユーザも影響大ということで、パスワードを今すぐ変更せよ!などと推奨するサイトなどもあるようだ。

2014年4月12日 19:40追記 ISCから、BIND、DHCPへの影響がな旨のアナウンスが出されている。BINDはOpenSSLを使用してビルドが可能ではあるが、Heartbleed問題に該当する機能は使用していないため影響がないということらしい。
■BIND, DHCP, and CVE-2014-0160 (the OpenSSL “Heartbleed” bug)
https://lists.isc.org/pipermail/bind-users/2014-April/092944.html

2014年4月12日 18:45追記 Heartbleedチェッカーが登場しているようだ。おそらく多数あると想像するが、その中の1つだけリンクを貼っておきたい。Go実装してるんだね。
■Test your server for Heartbleed (CVE-2014-0160)
http://filippo.io/Heartbleed/

2014年4月11日 15:45追記 主要ウェブサービス関連で、早急にパスワード変更が望まれるとされるサイトのまとめを随時更新されておられる方のサイトがあるのでリンクを掲載させていただく。ただしベースとしているウェブサイトがあり、そちらのほうが情報更新は先になると思われるので、一次ソース側の確認もされたい。
■OpenSSL脆弱性の影響を受けるサイト一覧(随時更新中) – Hideo Saito – note
https://note.mu/hidex7777/n/n4da15c7c4696-OpenSSL%E8%84%86%E5%BC%B1%E6%80%A7%E3%81%AE%E5%BD%B1%E9%9F%BF%E3%82%92%E5%8F%97%E3%81%91%E3%82%8B%E3%82%B5%E3%82%A4%E3%83%88%E4%B8%80%E8%A6%A7%EF%BC%88%E9%9A%8F%E6%99%82%E6%9B%B4%E6%96%B0%E4%B8%AD%EF%BC%89
■The Heartbleed Hit List: The Passwords You Need to Change Right Now – Mashable
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

2014年4月12日 15:30追記 余談。おもしろい解説マンガ(英語だけど簡単な文だから読めると思う)がnanog MLで紹介されていたのでリンクしておく(笑)。
■Heartbleed Explanation – xkcd
http://xkcd.com/1354/


2014年4月11日 12:50追記 Microsoftから、同社製品にはHeartbleedバグの影響がない旨のアナウンスがなされている。
■Microsoft サービスは OpenSSL「Heartbleed」脆弱性の影響を受けません – 日本のセキュリティチーム – Site Home – TechNet Blogs
http://blogs.technet.com/b/jpsecurity/archive/2014/04/11/microsoft-services-unaffected-by-openssl-quot-heartbleed-quot-vulnerability.aspx

SEやセキュリティ関連担当の方などであればJPCERT/CCからのアナウンスメールやIT系の情報サイトで目にしているのでいまさら感じはあるだろうが、具体的に記載された記事などがあるので一応リンクを貼っておきたい。
まずは日本語の情報から。

■OpenSSL の脆弱性に関する注意喚起 – JPCERT/CC
https://www.jpcert.or.jp/at/2014/at140013.html
■OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ – ITmediaエンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1404/08/news038.html
■OpenSSL脆弱性にベンダーが状況公開、影響システムを探る動きも – ITmediaエンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1404/10/news028.html

英語の情報はこちら。

■TLS heartbeat read overrun (CVE-2014-0160) – OpenSSL Security Advisory [07 Apr 2014]
https://www.openssl.org/
■OpenSSL ‘Heartbleed’ vulnerability (CVE-2014-0160) – US-CERT
http://www.us-cert.gov/ncas/alerts/TA14-098A

以下は個人サイトであるが、日本語でよくまとめられているようなので、リンクさせていただきたい(ただしOpenVPNのTLS-Authに関する記述は逆のような気がする)。2014年4月11日11:35追記 現在は訂正されています。

■CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ – めもおきば
http://d.hatena.ne.jp/nekoruri/20140408/heartbleed

ITmediaエンタープライズの記事にもあった他のベンダーの対応状況では、Cisco IOSOpenVPNなどが含まれているので、これらを利用している人は更新が必要となりそうだ。

■OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products – Cisco Systems
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-heartbleed

■OpenSSLのTLS heartbeat extensionに関連した脆弱性について – OpenVPN.JP
http://www.openvpn.jp/2014/04/08/783/
■heartbleed – OpenVPN Community
https://community.openvpn.net/openvpn/wiki/heartbleed

OpenVPNに含まれるOpenSSLライブラリはWindows版でも利用されているのでOpenVPNを更新しなければならない場合がある。どうやらTLS-Authを有効にしていれば問題は生じないようではあるが、もしアップデート可能であるならばアップデートしたほうが望ましいと思われる。OpenVPN-2.3.3がリリースされているようだ。

■OpenVPN 2.3.3 リリース – OpenVPN.JP
http://www.openvpn.jp/2014/04/09/793/

OS上に動的ライブラリを利用して稼動しているサーバなどがある場合、OpenSSLをアップデートしたらOpenSSLの動的ライブラリを利用しているアプリケーションを再起動させなきゃならんというのがえぐいよな……。
service httpd restart程度ですんなりいきゃいいけどね。

ちなみに私の所属する組織ではHTTPSなサイトは作ってないしVPNも使ってないので対応はとくになし。とはいえ気分が悪いのでyumで更新しておいた。

実は問題のあるOpenSSLのバージョンが1.0.1~1.0.1fとなっているわけだが、所属組織が契約中のAmazon EC2なCentOS上でyum list | grep opensslとかやると、なんと「1.0.1e-37.66」とかでるわけです。
「げー!まだ更新されてない!ぷんぷくりーん><」って思ったんだけど、どうやらこれが対策パッチの当たったものらしい。

■AWSからOpenSSLの脆弱性について AWS のサービスアップデート
http://aws.amazon.com/jp/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/

■ALAS-2014-320: openssl Security Update – Information Disclosure Vulnerability
https://aws.amazon.com/jp/amazon-linux-ami/security-bulletins/ALAS-2014-320/

あと、Elastic Load Balancing(ELB)使ってHTTPSも負荷分散してる場合はELBの証明書の更新も推奨されてる模様。

■Update an SSL Certificate for a Load Balancer
http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/US_UpdatingLoadBalancerSSL.html

さらにRDS(Amazon Relational Database Service?)のPostgreSQLは対策して再起動して通常運転に戻ってるってアナウンスが出ているようだ。

■RDS PostgreSQL Updated to Address OpenSSL Vulnerability
http://aws.amazon.com/jp/security/security-bulletins/rds-postgresql-updated-to-address-openssl-vulnerability/

その他の関連ドキュメントへのリンクも少しつけておきたい。

■The Heartbleed Bug
http://heartbleed.com/

■[CentOS-announce] CESA-2014:0376 Important CentOS 6 openssl Update
http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html

■OpenSSL multiple vulnerabilities – FreeBSD-SA-14:06.openssl
http://www.freebsd.org/security/advisories/FreeBSD-SA-14:06.openssl.asc

OpenSSL―暗号・PKI・SSL/TLSライブラリの詳細―マスタリングTCP/IP SSL/TLS編新版暗号技術入門 秘密の国のアリスOpensslスターケバブのファミリーセット 冷凍ケバブ6食(ビーフ4食、チキン2食)湘南貿易 デュック・ド・モンターニュ ノンアルコールワイン 750ml

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください