OpenSSLにまた重大な脆弱性
http://www.itmedia.co.jp/enterprise/articles/1406/06/news034.html
またか!!
しかも金曜日かwww
発表は月曜日にしてくれ
OpenSSLの脆弱性が見つかったそうです
今回はクライアント側も影響をくらうそうです
”脆弱性はクライアントではOpenSSLの
全バージョンが影響を受ける。
サーバではOpenSSL 1.0.1/1.0.2-beta1のみに
影響が確認されているが、
1.0.1より前のバージョンを使っている場合も
念のためにアップグレードするよう勧告している。”
ITメディアのより引用
・・・?
勧告ってUPしろってこと・・・?
バグを見つけた人だと
古いバージョンも対象になると記載してある。
https://lepidum.co.jp/blog/2014-06-05/CCS-Injection/
”どのバージョンが影響を受けますか?
以下のバージョンにバグが存在する。1.0.1から1.0.1g
1.0.0から1.0.0l
0.9.8y以前の全て
以下のバージョンではバグが修正されている。1.0.1h
1.0.0m
0.9.8za
どっち?
対応するなら管理しているサーバーの全サーバーになる
前回のバグで影響なかった古いバージョンも影響するとか
マジやめて!!!
負荷分散機(BIGIP)のバージョンとか怖くて
できねーよ
クライアントはたぶん・・・
以下のURLに記載しているソフトが該当すると思われる
http://d.hatena.ne.jp/nekoruri/20140408/heartbleed
OPENVPNはもうバージョンしたみたい
早すぎwwww
http://www.openvpn.jp/2014/06/06/862/
追記 2014/06/06 16:51
http://www.ipa.go.jp/security/ciadr/vul/20140606-jvn.html
ipaから情報がでました
全サーバー対象になるそうです
オワタ\(^o^)/
負荷分散機も!!
やりたくないwww
逃げ出したい!!
追記 2014/06/09 13:21
影響範囲とかまとめていたら
いつの間にか更新されていた
”
今回の脆弱性で MITM 攻撃が可能になるのは、サーバとクライアントの両方が OpenSSL である場合で、かつサーバの OpenSSL のバージョンが 1.0.1 系列である場合に限定されます[4]。
どちらかが OpenSSL でなかったり、サーバが 0.9.8 系列や 1.0.0 系列の場合には、攻撃をしようとしても接続が途中で切断され、
MITM の状態にはならないことを IIJ でも確認しています[5]。
IIJのブログより引用
https://sect.iij.ad.jp/d/2014/06/069806.html
”
キタ━━━━(゚∀゚)━━━━!!
0.9.8のサーバーはセーフ!!
IIJ、GJです!!
追記 2014/06/11 14:09
WinSCPがバージョンアップされたようです
http://sourceforge.jp/projects/winscp/