ゼロデイOpen SSL脆弱性 #heartbleed 修正されましたが、あなたのサーバーは本当に脆弱性から守られていますか？今すぐ確認してください

セキュリティ研究者は、OpenSSLと呼ばれる暗号ソフトウェアライブラリに非常に重大で高リスクの欠陥を発見しました。OpenSSLは、約3分の2のWebサーバーがエンドユーザーに自分自身を識別し、パスワード、銀行の資格情報、その他の機密データの漏洩や盗聴を防ぐために使用されています。脆弱性を悪用できる潜在的なサイバー犯罪者や攻撃者は、サービスとクライアント間で送信されるすべてのデータを監視したり、犯罪の意図で過去の暗号化データを復号化したりすることができます。多くの現代のオペレーティングシステムは、Debian Wheezy、Ubuntu 12.04.4 LTS、CentOS 6.5、Fedora 18、OpenBSD 5.3、FreeBSD 8.4、NetBSD 5.0.2、OpenSUSE 12.2などの脆弱なバージョンのOpenSSLを使用しています。さらに、最も広く使用されている2つのWebサーバーであるApacheとnginx、ほとんどのメールサーバーやチャットサービス、VPNなどもこのコードライブラリを使用しています。上記以外にも、ルーターなどの組み込みLinuxを使用するほとんどのデバイスもこの脆弱性にさらされています。

2011年12月以来、OpenSSLの製品版に存在していたこの欠陥は、ハッカーや攻撃者がデジタル証明書のプライベート暗号化キーを復元できることを意味する可能性があります。これにより、サーバーとエンドユーザー間で移動するデータを認証するために使用され、サイバー犯罪者がメールID、パスワード、銀行のユーザー名やパスワードなど、ほぼすべてのユーザー資格情報を悪用しやすくなります。このバグは、サーバーログに攻撃の痕跡を残さなかったため、誰も自分のサーバーが侵害されたかどうかを知ることができず、エンドユーザーも自分がID盗難にさらされているかどうかを知ることができませんでした。

OpenSSLのバグの発表は、OpenSSLのバージョン1.0.1gのリリースと同時に行われました。このバグには「Heartbleed」というニックネームが付けられ、実際にOpenSSLの中心にあったことを強調しています。OpenSSLの古いバージョンである1.0.1から1.0.1fまでの2つの例外（OpenSSL 1.0.0ブランチと0.9.8）を除いて、依然として脆弱です。

CDNサービスプロバイダーのCloudFlareは、ブログでこの脆弱性についてすでに知っていたため、CloudFlareがサポートするサーバーの侵害を防ぐための措置を講じたと述べました。

本日、OpenSSL 1.0.1に新しい脆弱性が発表され、攻撃者が接続されたクライアントまたはサーバーに最大64kBのメモリを公開できるようになります（CVE-2014-0160）。私たちは、この脆弱性を公開される前の先週に修正しました。SSLにCloudFlareを使用しているすべてのサイトは、この修正を受けており、自動的に保護されています。

セキュリティアナリストのジャレッド・スタッフォードは、この脆弱性のためのPythonテストコードを公開しました。PythonテスターのPDFファイルは、以下に参考のために示されています。

さらに、https://filippo.io/Heartbleed/を訪れて、あなたのサーバーがこのゼロデイバグに脆弱かどうかを確認することもできます。追加情報については、Heartbleedに関するGithubサイトやheartbleedサイトを訪れてください。

*更新: 脆弱性がオンラインで公開されると、インターネットは漏洩を始めました。Yahoo、Microsoft、Ubuntu、FBI、銀行のウェブサイト、政府のウェブサイト、決済ゲートウェイを含む数百のトップサイトが脆弱であることが判明し、ハッカーはすでに多くのウェブサイトからユーザー資格情報を攻撃し、漏洩させ始めています。*

他のいくつかのウェブサイト、特にeBayは迅速に脆弱性を修正し、ユーザー資格情報の漏洩から自らを守りました。他のいくつかのウェブサイトは脆弱性を修正するためにダウンしていますので、今後数時間のうちに主要なウェブサイトがメンテナンスのためにダウンしているのを見かけても、それは大したことではありません。サーバーからの漏洩がオンラインになる前に修正されることを願っています。 最も安全な方法は、システム管理者が修正するまで、Heartbleedに脆弱なオンラインサービスにログインしないことです。