masalibの日記

システム開発、運用と猫の写真ブログです

OpenSSLにまた重大な脆弱性

OpenSSLにまた重大な脆弱性
http://www.itmedia.co.jp/enterprise/articles/1406/06/news034.html

またか!!
f:id:masalib:20140606141949j:plain

しかも金曜日かwww
発表は月曜日にしてくれ

OpenSSLの脆弱性が見つかったそうです
今回はクライアント側も影響をくらうそうです

脆弱性はクライアントではOpenSSLの
全バージョンが影響を受ける。
サーバではOpenSSL 1.0.1/1.0.2-beta1のみに
影響が確認されているが、
1.0.1より前のバージョンを使っている場合も
念のためにアップグレードするよう勧告している。”
       ITメディアのより引用


・・・?
勧告ってUPしろってこと・・・?


バグを見つけた人だと
古いバージョンも対象になると記載してある。
https://lepidum.co.jp/blog/2014-06-05/CCS-Injection/

”どのバージョンが影響を受けますか?
以下のバージョンにバグが存在する。

1.0.1から1.0.1g
1.0.0から1.0.0l
0.9.8y以前の全て
以下のバージョンではバグが修正されている。

1.0.1h
1.0.0m
0.9.8za

どっち?

対応するなら管理しているサーバーの全サーバーになる
前回のバグで影響なかった古いバージョンも影響するとか
マジやめて!!!
負荷分散機(BIGIP)のバージョンとか怖くて
できねーよ

クライアントはたぶん・・・
以下のURLに記載しているソフトが該当すると思われる
http://d.hatena.ne.jp/nekoruri/20140408/heartbleed

OPENVPNはもうバージョンしたみたい
早すぎwwww

http://www.openvpn.jp/2014/06/06/862/


追記 2014/06/06 16:51
http://www.ipa.go.jp/security/ciadr/vul/20140606-jvn.html
ipaから情報がでました

全サーバー対象になるそうです
オワタ\(^o^)/
負荷分散機も!!
やりたくないwww
逃げ出したい!!


追記 2014/06/09 13:21
影響範囲とかまとめていたら
いつの間にか更新されていた


今回の脆弱性で MITM 攻撃が可能になるのは、サーバとクライアントの両方が OpenSSL である場合で、かつサーバの OpenSSL のバージョンが 1.0.1 系列である場合に限定されます[4]。
どちらかが OpenSSL でなかったり、サーバが 0.9.8 系列や 1.0.0 系列の場合には、攻撃をしようとしても接続が途中で切断され、
MITM の状態にはならないことを IIJ でも確認しています[5]。
   IIJのブログより引用
https://sect.iij.ad.jp/d/2014/06/069806.html

キタ━━━━(゚∀゚)━━━━!!
0.9.8のサーバーはセーフ!!

IIJ、GJです!!


追記 2014/06/11 14:09
WinSCPがバージョンアップされたようです
http://sourceforge.jp/projects/winscp/