全Webサイトの66%で使用されているSSL/TSL暗号化ライブラリ「OpenSSL」のバージョン1.0.1/1.0.2に深刻な脆弱性があり、本来SSL/TLS通信では暗号化されているパスワードなどの情報が、読み取られる恐れがあるというニュース。この脆弱性の恐ろしいところは、情報が読み取られたとしてもログが残らないので、パスワードなどが流出しても気づくことがないということです。
Debian Wheezy, Ubuntu, CentOS, Fedora, OpenBSD, NetBSD, OpenSUSEなどのOSは修正パッチがリリース済みですが、OS X Mavericksはまだアップデートがリリースされていません。Apple SSLバグテストサイトのgoto fail;でもWarning!と表示されます。
一般的なサーバーやサービスであれば、すでに修正パッチが適用されており問題はありませんが、自分のサイトやブログの入っているサーバーが修正パッチをあてているのかを知るには、Test your server for Heartbleed (CVE-2014-0160)にhttpsでURLを入力するとチェックすることができます。
パスワード管理アプリの1Passwordで管理している情報に関しては、この影響を受けないということですが、脆弱性のあるサーバーにパスワードを入力すると同じ事なので注意が必要です。
また、The LastPass Blogによると、Yahoo.com(Flickrも), github.com, rememberthemilk.com, fitbit.com などの大手サービスは、修正パッチの適用前にパスワードなどが盗み取られた恐れがあるため、念のためパスワードを変更しておいた方が良いということです。
- Source Heartbleed Bug
- @IT
- ITmedia エンタープライズ
