Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Heartbleed」の影響についてアナウンスを - IPA呼びかけ

暗号化通信で利用されるライブラリ「OpenSSL」に深刻な脆弱性「Heartbleed」が見つかった問題で、情報処理推進機構(IPA)は、ウェブ管理者へ対策を呼びかけている。

20140415_ip_001.jpg
脆弱性「Heartbleed」の内容(IPA)

同機構では、これまでも同脆弱性について注意を喚起してきたが、ウェブ管理者向けに具体的な対策を示し、対応を呼びかけたもの。問題となっている「CVE-2014-0160」は、悪用されると、秘密鍵をはじめ、本来秘匿すべき情報が漏洩するおそれがある。

脆弱性の影響を受けないよう、修正済みの「同1.0.1g」以降にアップデートしたり、アップデートできない場合は、「heartbeats拡張」を無効にするため再コンパイルするよう求めている。

ウェブサイトで「OpenSSL」を利用している場合は、秘密鍵がすでに漏洩している可能性があると指摘。脆弱性を解消した上で、従来の証明書を失効させ、あたらしい秘密鍵により証明書を再取得、再設定することを推奨している。

さらにSSL通信を利用している場合、「影響があり対策を講じた」や「影響がない」など脆弱性の影響の有無にかかわらず、利用者にアナウンスするよう求めている。

(Security NEXT - 2014/04/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

Oracle、定例更新で12製品グループの脆弱性113件を修正
国内トップサイトの半数近くが心臓失血症 - トレンド調査
トレンド製Mac向けパスワード管理ソフトを「Heartbleed」が直撃 - 各パスワードの変更求める
「Heartbleed」に対し一般ユーザーが注意すべきこと - IPAが解説
「Heartbleed」脆弱性へのアクセス増は研究者が原因か - Symantec分析
MS関連サービスやWindowsは「Heartbleed」の影響なし - MSが表明
ネットエージェント、「Heartbleed」を検査できる無料サービス
9日より「OpenSSL」への攻撃増加 - 秘密鍵漏洩に注意を
「OpenSSL」に秘密鍵漏洩する脆弱性「Heartbleed」が存在 - エクスプロイトも流通