「Heartbleed」の影響についてアナウンスを - IPA呼びかけ
暗号化通信で利用されるライブラリ「OpenSSL」に深刻な脆弱性「Heartbleed」が見つかった問題で、情報処理推進機構(IPA)は、ウェブ管理者へ対策を呼びかけている。
脆弱性「Heartbleed」の内容(IPA)
同機構では、これまでも同脆弱性について注意を喚起してきたが、ウェブ管理者向けに具体的な対策を示し、対応を呼びかけたもの。問題となっている「CVE-2014-0160」は、悪用されると、秘密鍵をはじめ、本来秘匿すべき情報が漏洩するおそれがある。
脆弱性の影響を受けないよう、修正済みの「同1.0.1g」以降にアップデートしたり、アップデートできない場合は、「heartbeats拡張」を無効にするため再コンパイルするよう求めている。
ウェブサイトで「OpenSSL」を利用している場合は、秘密鍵がすでに漏洩している可能性があると指摘。脆弱性を解消した上で、従来の証明書を失効させ、あたらしい秘密鍵により証明書を再取得、再設定することを推奨している。
さらにSSL通信を利用している場合、「影響があり対策を講じた」や「影響がない」など脆弱性の影響の有無にかかわらず、利用者にアナウンスするよう求めている。
(Security NEXT - 2014/04/15 )
ツイート
PR
関連記事
旧通販サイトでクレカ情報流出、原因は「Heartbleed」 - スイーツ通販サイト
脆弱な「Drupal」サイトをボット化、仮想通貨発掘させる攻撃が発生
Oracle、定例更新で12製品グループの脆弱性113件を修正
国内トップサイトの半数近くが心臓失血症 - トレンド調査
トレンド製Mac向けパスワード管理ソフトを「Heartbleed」が直撃 - 各パスワードの変更求める
「Heartbleed」に対し一般ユーザーが注意すべきこと - IPAが解説
「Heartbleed」脆弱性へのアクセス増は研究者が原因か - Symantec分析
MS関連サービスやWindowsは「Heartbleed」の影響なし - MSが表明
ネットエージェント、「Heartbleed」を検査できる無料サービス
9日より「OpenSSL」への攻撃増加 - 秘密鍵漏洩に注意を
