5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

OpenSSLに重大なバグが発見される

1 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:22:42.81 ID:Uyilqv5/0 ?2BP(1000)

OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性
http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/

セキュリティー研究者らが “Heartbleed“と呼ぶそのバグを悪用すると、
過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、システムメモリー上にある大量のデータを暴露することが可能だ。

問題のバグは、OpenSSLの “heartbeat” という機能の実装に存在する。そこから “Heartbleed” と名付けられた。

このバグは、OpenSSLに2年以上存在していたが(2011年12月以来、OpenSSL 1.0.1〜1.0.1f)、今日初めて発見され公表された。
さらに悪いことには、このバグを悪用してもその痕跡はログに残らないようだ。
つまり、システム管理者は自分のサーバーが侵入されたかどうかを知る術がない。されたと仮定するほかはない。

The Heartbleed Bug
http://heartbleed.com/

2 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:24:41.99 ID:XHjlCnFh0
NSAとかが使ってるネット通信を全部監視するロジック打破の方が先だろ

3 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:25:39.12 ID:AN1CrzB90


4 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:26:53.47 ID:Uyilqv5/0 ?2BP(1000)

Torblogにもあった
https://blog.torproject.org/blog/openssl-bug-cve-2014-0160

5 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:27:33.04 ID:PjbfV5x20
おいおい…

6 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:27:46.49 ID:0U8i2pap0
どうすんだこれ・・・

7 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:30:28.61 ID:dOj317qZ0
sslとsshと違いが分からない

8 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:30:51.46 ID:zFyrSRV/0
これはやばい
httpsは開かんほうがいいな

9 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:31:27.58 ID:DRDXWhJa0
これあかんやつや

10 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:31:41.55 ID:pTmVAZGN0
うわ…これって…つまりどういうこと?

11 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:32:05.99 ID:TXPNyzZf0
ソースにある
>「私は爆発物処理技術者だ、私が走っているのを見たら、起きていた方がいい」。
って起きていた方がいいじゃなくて、付いてきた方がいい、一緒に走った方がいいって意味じゃないの?

12 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:32:55.06 ID:NHWyDJw00
ゆうちゃn

13 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:34:21.28 ID:PjbfV5x20
これ多分、明日リリースのWin XP最終パッチに間に合わないだろうから、XP完全死亡だろ…

14 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:35:19.77 ID:6iW679hz0
よく分からんけどユーザーの側には問題ない感じ?

15 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:37:31.13 ID:q1NV95PA0
これはちょっとヤバイんじゃねえの?

16 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:37:45.88 ID:mFYON56t0
yum update実行したらopenssl.x86_64 0:1.0.1e-16.el6_5.4.0.1.が出てきたがこのバージョンで修正されているのか?

17 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:38:46.55 ID:VaogqcK60
XPとか関係なくね?

18 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:40:53.75 ID:PjbfV5x20
あ、WindowsのSSL実装はOpenSSLじゃないのか…
なら、大丈夫なのかな

19 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:42:29.23 ID:DihkeEs60
メモリー上からトークン吸い上げられて、なりすましに利用されるな

20 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:44:07.05 ID:dr6PPoox0
パッチ早く来てくれー!!

21 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:45:42.33 ID:SyOLStvY0
https://launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12

SECURITY UPDATE: memory disclosure in TLS heartbeat extension


Ubuntuは修正されたみたいだな

22 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:45:47.27 ID:ZKllh0bc0
> The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software.
ワロタ

23 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:46:31.91 ID:M9UEa2lF0
ノーガード時代にいよいよ突入してきたな

24 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:47:07.86 ID:TvXgyp6E0
TLB heartbeatを無効にせずにビルドしているサーバー、クライアント共に64KBまでのメモリが
リークされるみたいだけど、イマイチ影響範囲がよくわからんな。しかし、Googleはこの手の
バグをよく見つけるな。

OpenSSL vulnerabilities

This page lists all security vulnerabilities fixed in released versions of OpenSSL since 0.9.6a was released on 5th April 2001.

2014
CVE-2014-0160: 7th April 2014
A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64kB of memory to a connected client or server. This issue did not affect versions of OpenSSL prior to 1.0.1. Reported by Neel Mehta.

Fixed in OpenSSL 1.0.1g (Affected 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)

25 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:49:13.45 ID:DihkeEs60
Ubuntuはアップデートがもうリポジトリに来てるね

26 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:49:20.47 ID:IkiNJ6DK0
>>16
1.0.1gまでアプデしなきゃダメ

27 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:49:58.87 ID:mFYON56t0
>>26
今makeしてるわ
お前らもここからやっとけ
https://www.openssl.org/source/

28 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:52:12.21 ID:PjbfV5x20
お家帰ったらemerge -uすんべ

29 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:54:06.45 ID:Uyilqv5/0 ?2BP(1000)

>>21
LTSはいずれ修正されるよね?

30 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 12:54:13.86 ID:TvXgyp6E0
>>24
http://heartbleed.com/ のFAQに書いてあった。一回のリクエストでとれる情報は64KBまでだけど、
繰り返しリクエストすることによりいくらでもデータを持って行けるってことか。これは終わったな。

Can attacker access only 64k of the memory?

There is no total of 64 kilobytes limitation to the attack, that limit applies only to a single heartbeat.
Attacker can either keep reconnecting or during an active TLS connection keep requesting arbitrary
number of 64 kilobyte chunks of memory content until enough secrets are revealed.

31 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 13:02:11.14 ID:SeKA9fQI0
>>11
爆発物処理班についていったら危ないだろ・・・

32 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 13:08:52.24 ID:zLdfSoIC0
>>7
ssl・・・ Webの暗号化(https)に使われる通信プロトコル。
apache+opensslライブラリの組み合わせが鉄板

ssh・・・ UNIXにリモートログインするのに使う。opensshサーバが業界標準。

このopensshに限らず、フリーソフトで暗号化通信をサポートするソフトの多くは、
opensslライブラリを使っている。
ネットワークアプライアンスのsshログイン機能とか、殆どopensslだろう
ライブラリのどの部分がアウトなのかにもよるが、影響はでかそうだ

33 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 13:13:34.42 ID:wqofv1yJ0
要はネットワーク越しのオーバーフローか
ハートビートって接続を維持するための定期パケットだろ
そんぐらいちゃんと作っとけよな

34 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 13:15:20.70 ID:Sfv0BFR6I
TorもOpenSSL使用して動いてるから危ない
exploit修正版openssl込みのバージョンアップされるまで使わないが吉

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7295

35 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 13:23:40.16 ID:j1Q8fHTu0
https://www.google〜  ← これ経由の情報も抜き取ってる事の言い訳だろ

36 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 13:23:54.52 ID:aZRSLrA80
openssl入ってるだけでダメなの?サーバ触り始めたばっかでよくわからない
webサーバとか立ててないんだけど

37 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:14:39.95 ID:Uyilqv5/0 ?2BP(1000)

>>35
最近GoogleはGmailを強制SSL接続にしたらしいな

あっ……!

38 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:16:30.90 ID:gIA70+zS0
Open2chの開発者にクレーム入れたけど・・・以下略

39 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:22:29.27 ID:gIA70+zS0
こりゃあかん。OTNP入れてない奴は用心した方がいい
ttp://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/

40 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:27:27.92 ID:FzFKnZSg0
これすげえなw

41 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:31:16.88 ID:FCC+7lMb0
確認ツール
試しに自分のサーバと2chに使ってみたけど大丈夫っぽい
https://github.com/titanous/heartbleeder

42 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:32:16.93 ID:FzFKnZSg0
さっきうちのPCにupdate着てたけどこれ関連かな

43 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:32:27.15 ID:PZpcj59l0
ttps://github.com/titanous/heartbleeder

これビルドして使うと特定のサーバにこのセキュリティホールあるかどうかテストできるよ

44 :.:2014/04/08(火) 15:33:34.11 ID:K7SPKitU0
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

45 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:35:18.33 ID:FCC+7lMb0
ブラウザから出来る奴はこれ
http://filippo.io/Heartbleed/

46 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:44:36.23 ID:FCC+7lMb0
やってみたけど全然引っかからないから>>45は本当にチェックしてるのか?と思ったら
ssl.tv-osaka.co.jpが引っかかった

47 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:50:36.21 ID:DajKstAm0
IPsec周りが不味そうだな
お前らUDP500ポートにアタックしたりすんなよ

48 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:54:43.37 ID:+c5xeUR60
うちの鯖ももちろんアウト

./heartbleeder 127.0.0.1
INSECURE - 127.0.0.1:443 has the heartbeat extension enabled and is vulnerable

49 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:58:03.27 ID:PZpcj59l0
これってクライアント側はなにもしなくて大丈夫なの?

50 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 15:59:15.95 ID:2QvtEEKT0
>>16
redhatの標準リポジトリじゃアップデート遅い

51 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:00:58.38 ID:o+MohjP90
googleすげえ
よく見つけたな・・・

52 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:02:20.98 ID:PZpcj59l0
ハッカー「あーこのバグ知ってるわー、2年前から知ってたわー」

53 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:02:32.74 ID:DajKstAm0
やっぱりRHEL系のデフォルトは対応遅いな
うちのCentOS6はまだ1.0.1eだった

54 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:06:44.26 ID:+c5xeUR60
OpenSSL 1.0.1gに上げて対応完了

./heartbleeder 127.0.0.1 │・・・・・・・・・・・・・・・・・・・・・・・
SECURE - timed out while waiting for a response from 127.0.0.1:443

55 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:09:27.37 ID:FCC+7lMb0
>>16
それはHeartbeat機能が無効化されたやつ
http://www.spinics.net/lists/centos-announce/msg04910.html

パッチが当たってるのは openssl-1.0.1e-16.el6_5.7
http://www.spinics.net/lists/centos-announce/msg04911.html

56 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:09:28.91 ID:DajKstAm0
すまん、CentOS6だけど、1.0.1eながらheartbeat無効にしたビルドに変わってるみたいだ

57 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:09:38.95 ID:QLVv8zf30
上級パソコナーならすぐに対応しそうだな

58 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:12:21.53 ID:mFYON56t0
>>45
いろんなところ当たってるけどなかなか無いなあ

59 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:12:41.44 ID:DajKstAm0
>>55
ってパッチ当てたの来てたか
情報おせーな俺…

60 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:16:06.36 ID:P+5YLTW80
これ悪用されまくったんだろうな

61 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:40:06.97 ID:NMac82r30
0.9.8系はセーフ?

62 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:43:05.79 ID:zEho9Kb40
>>58
服 site:https://
靴 site:https://
とかで物販サイトをググると10件中1件ぐらいの割合で見つかるぞ

63 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:45:07.78 ID:DajKstAm0
>>61
問題なし
影響を受けるのは、1.0.1fまでの1.0.1系と1.0.2-beta1らしい

64 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:47:16.93 ID:NMac82r30
>>63
サンクス
新しい鯖が被害を受けるとは皮肉だな

65 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:48:49.59 ID:9e6QdG280
クッソヤバいじゃねーか、これ

66 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:50:29.45 ID:ZTiQmjFo0
鯖側だけの話か?

67 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 16:52:16.95 ID:rHWYkQHK0
そうそうvarUPしないし
1.0.1なんて使ってる所なんて滅多にないだろうから問題無し

68 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 20:08:54.91 ID:zAERLztZ0
よく分かんないので誰かドラゴンボールで喩えてくれ

69 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 20:13:36.04 ID:YCFpy5vO0
trickが運用板壊したのこれのTestツール?

70 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:22:48.37 ID:OeheloE10
https://www.openssl.org/

帰ってきてから落とそうとしたらメッチャ重いwwwww

71 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:24:26.29 ID:ZTiQmjFo0
あー通信相手のプロセスのメモリが見えるって事はクライアント側もまずいんだな

72 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:34:38.46 ID:2ArKqion0
前もなんかあったなと思ったが別の件?
【緊急】Linuxサーバーがウイルスで壊滅。うち半数近くは管理者不在で被害拡大中。【停止】
http://maguro.2ch.net/test/read.cgi/poverty/1395361785/

73 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:38:21.41 ID:7VMOE1or0
>さらに悪いことには、このバグを悪用してもその痕跡はログに残らないようだ。
>つまり、システム管理者は自分のサーバーが侵入されたかどうかを知る術がない。されたと仮定するほかはない

つまりECサイトとかで情報流出があっても、あったかどうかも分からないって事?

74 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:43:39.78 ID:iZ0Y8Zc/0
こういうニュース見るたび思うけどスーパーハッカーさんは悪い人少ないんだろうな

75 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:45:51.98 ID:A8dN0l0L0
グーグルクロームみたいなもんじゃん
そんな騒ぐほどのものか?

76 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:46:16.02 ID:yvgO/brr0
ぁゃしぃ
http://qb5.2ch.net/test/read.cgi/operate/1396565830/858-860

77 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:50:49.26 ID:4Zrkp3rK0
yum update でいける?

78 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:53:43.30 ID:6UTBZsJ30
途方もない作業量になるな

79 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 21:55:19.79 ID:Bcobx33l0
なんか今日更新したわ

80 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 22:13:01.66 ID:OeheloE10
>>78
シェアードライブラリ(WindowsのDLL)なら
opensslの入れ替えだけで終わる。

81 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 22:18:42.45 ID:5K5C9p6+0
調べたらPC自体にそんなファイルがなかったんだが、意図的に入れないと入らないものなの?

82 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 22:27:51.13 ID:iIfqxQJW0
なおIISは影響を受けない模様

83 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 22:46:26.53 ID:qw2QKj3N0
>>77
CentOSいけた

84 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 23:03:18.93 ID:gNwOWVZN0
まじかよ

やべえやんこれ

85 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 23:09:45.52 ID:peruNobk0
ハッカー集団や米軍あたりは絶対気づいてたな、これ

86 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 23:36:14.16 ID:eOlNdxuwO
>>31
爆発物処理技術者が走っている=手遅れで爆発する=倣って逃げた方がいい
ってことでそ

87 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 23:39:27.59 ID:SeKA9fQI0
なるほどー

88 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 23:41:20.02 ID:0ZWkodlf0
>OpenSSLが走るシステムで、システムメモリー上にある大量のデータを暴露することが可能だ。

該当プロセスのメモリだけでなく??

89 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 23:42:25.75 ID:c2LbfTXF0
こういうの他にもあるんだろうなあ

90 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 23:45:51.11 ID:0ZWkodlf0
ああ秘密鍵が盗られる恐れがあるのか・・・

91 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/08(火) 23:52:16.98 ID:rtuRaCR/0
gentoo来てた
けど自分だけ更新しても安心って訳じゃないのが…

92 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 00:00:12.94 ID:KxLt/xfN0
境界値バグなの?
なんかちょっと無効な数字を入れただけでオーバーフローしちゃうみたいなしょーもないバグだったの?

93 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 00:02:13.29 ID:4Ug2ChoN0
>>45で調べてるけど
全然大した事無いな
大騒ぎしすぎだわ

94 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 00:02:55.52 ID:Al5faFUH0
auのお客様サポートページはアウトかよ・・・
cs.kddi.com

95 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 00:04:03.45 ID:DxyBGoHs0
えーとこれインターネット市場最悪の事件なんだけど

96 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 00:26:55.01 ID:FRnrC/LK0
>>13
Windows の Crypto API は OpenSSL とは無関係

97 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 00:31:13.53 ID:ZROzsQUj0
パッチあてたわ
おまえらありがとう

98 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 00:46:12.47 ID:hUac323N0
ガチで酷かった
しかも1.0.1eだし…

99 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 04:32:44.64 ID:QU0cpS8Q0
2chサーバのほとんどは難を逃れたが
なんかひとつそれっぽいのがあったようでみの人が対応中
影響範囲やば過ぎなので周知age

100 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 04:52:45.81 ID:QJ+NQL5y0
んな1.0.1系なんて使ってる鯖はごくごくごくごくわずかだろうに

101 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 05:22:54.79 ID:tzlKXhEW0
いや別に名付けなくていいからw

102 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 05:30:17.23 ID:O+IVFTo70
サーバー管理者の一部にはこの脆弱性公開の前に教えてたってあるけど、そいつらに悪人がいたらやばいんじゃないの

103 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 05:32:54.16 ID:ggD/NcNy0
View使ってる俺涙目
念のため関連したextをリネームした

104 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 05:33:56.55 ID:5GTOre0B0
ついにGnuTLSの時代が来たか

105 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 06:27:23.33 ID:DYX9/2Im0
Androidは大丈夫なんか?

106 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 06:31:18.15 ID:M4FiECHL0
大丈夫なわけないだろw

107 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 07:09:59.70 ID:oFuIc1P70
情弱にはよく分からん
https://
にアクセスしちゃダメってこと?

108 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 07:14:35.68 ID:brljkucA0
マインクラフト出来ないなと思ったらこういう事か

109 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 07:43:16.52 ID:pheAjyIQ0
googleの株価が560$台になって喜んでるアホン厨がいたりして・・・w

110 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 08:16:23.14 ID:Z86JxxlB0
これ、該当サーバは

パッチ当て→SSL証明書再発行

が証明局のオススメになってるもんだから、手間が半端ない。
洗い出しだけでも一苦労なのに、再発行の手続きががが。

ちくしょう、仕事増やしやがって。。。

111 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 08:21:50.22 ID:DYX9/2Im0
OpenSSL Bug Allows Attackers To Read Memory In 64k Chunks

Posted by Unknown Lamer on Monday April 07, 2014 @08:02PM
from the check-your-bounds dept.
http://it.slashdot.org/story/14/04/07/2354258/openssl-bug-allows-attackers-to-read-memory-in-64k-chunks


OpenSSL の脆弱性に関する注意喚起

各位

JPCERT-AT-2014-0013
JPCERT/CC
https://www.jpcert.or.jp/at/2014/at140013.html

112 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 09:00:58.44 ID:0yLXSK3k0
素人の俺に教えてくれよ
アプリケーションでOpenSSL使ってるのは大丈夫なの?
BItcoinに使われてて少し心配

113 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 11:47:44.57 ID:Dk75kIrb0
>>110
認証局からは俺たちとは違う悲鳴が聞こえてきそうだな

114 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 12:30:21.37 ID:nFGxP1G60
>>112
スレに出てるツール自分で取ってきて確認してみ

115 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 12:32:55.10 ID:ncpbbexk0
外は危ないな(´・ω・`)

116 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 13:29:52.27 ID:TD7ctje90
対策されてない鯖が根掘り葉掘りされるな
ここ1ヶ月注意必要だわ

117 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:18:25.08 ID:ovtnPcRt0
ウェブ見るだけの一般ユーザーにも関係あるのか?
firefoxで悪者の https:// なアドレスのページを開くだけで、自分のPCのメモリー吸い出される? それは無い? どうなの?

それともメモリー吸い出されるのはサーバーだけ? サーバー運営してる人だけが注意すればいいのか?
よくわからん。

118 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:20:31.97 ID:0PHupJwD0
>>117
例えばあなたが銀行口座にログインして、そのときにその銀行の
ウェブサイトが攻撃された場合、ログインIDとかパスワード、残高
などいろいろな情報が抜かれます。

119 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:25:50.09 ID:jyW1PXhP0
個人のPCでできる事は何もないわけか

120 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:31:42.51 ID:eEF5v7eo0
Heart Bleedを読んだ
http://lewuathe.com/blog/2014/04/08/opensslfalsecui-ruo-xing-wodu-nta/

めっちゃ初歩的でありがちなミスだな。
向こうから送られてきたpayload長をチェック無しでまんま食ってる。

121 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:33:00.92 ID:ovtnPcRt0
>>118
なるほど。メモリー吸いだしされるのはサーバーだけなのね。
俺ら一般ユーザーのPCから直接メモリーを吸い出しされる心配は無いといことだね。安心した。サンクス!

https:// なショッピングサイトとかでパスワード入力しないようにしてれ一般ユーザーば安全なんだな?
でもそれだとネットショッピングとかできなくね? どうすんの? こまるんだが!

122 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:36:40.15 ID:kpYmd63a0
>>46
もう塞いでるじゃん
auはダメダメw

123 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 15:44:02.50 ID:Khj52f0M0
あーこれはゆうちゃん大勝利だは

124 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 17:18:09.35 ID:KBzzOTOS0
これ結構危ないの?

125 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 19:00:12.65 ID:EAsAqwYd0
どっかで全てのサイトのパスワードを変えた方が良いって読んだんだけどマジ?

126 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 19:02:58.14 ID:4ZHpp/aT0
>>120
この前発見されたAppleのSSL実装バグも必要のないgotoをしてたことが原因らしいし
脆弱性の正体なんてそんなもんなのかもしれんな

127 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 19:07:30.00 ID:e6mBSrNk0
>>81
WindowsはOSSは利用していないから意図的に入れないと無い
Linuxならほぼ標準

128 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 19:07:52.58 ID:fwub/JVT0
あーこのせいか
Google検索の挙動が今日おかしいんだよな
midori使ってるのなんてケンモで俺くらいかもしれんけどさ

129 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 19:09:44.68 ID:Iqp7/fP80
ffftpなんかは対象に入る

130 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 20:45:32.51 ID:3rE2jXnM0
依存関係がもっとも激しいヤツじゃん
関連するライブラリはほとんどビルドし直しになるんかコレ

ただ、winは1.0.1ってビルド出来たっけ?
ウチじゃ出来なくて0.9系使ってる

131 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 20:49:41.18 ID:3rE2jXnM0
んでsslだけビルドし直したがまだパラレルメイクのバグ直ってないのか
fからのpod_syntaxのパッチ当てないとリンクでエラー出るし、gnutlsの時代にならんかなー

132 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 20:59:34.83 ID:FRnrC/LK0
xrea とかさくらのレンサバはどうなん?

133 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 21:01:16.92 ID:On5Q8c4k0
マジかよおーぷん2ちゃんねる最低だな

134 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 22:43:32.06 ID:wvbBYLvG0
>>13
氏ね捏造ゴミチョン

135 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 22:47:26.78 ID:WOhECxV30
これって秘密鍵と公開鍵のペアが大量にばれるってこと?
だとしたらネットの暗号全てが詰んでネットビジネス終了だよな??

136 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 22:50:54.65 ID:QU0cpS8Q0
各所のアップデートが終わるまではユーザも一応警戒せんとまずいわな
共通パスとかクレカのセキュリティコードとか、ほぼ単品でも巻き添えで漏れたら怖いもんはたくさんある

137 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 22:52:20.71 ID:6xK3lSny0
おまえら何語はなしてんの?

138 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 23:09:09.79 ID:Zoq0iXsX0
ヤバすぎるスレはあまり盛り上がらない

139 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 23:10:12.02 ID:QPRiWw2g0
十代のバックを発見

140 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 23:12:09.28 ID:GvV0gkv10
1.0.1とか未来に生きてるな、お前ら

うちのWebサーバだとだいたい0.9.8使ってたわ、よゆーよゆー

141 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 23:13:34.32 ID:nFswriBR0
そこらのサイトのデータ大体とりほーだいだぞーいそげー:-P

142 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 23:33:33.53 ID:f4N7HlTW0
# emerge -u opensslで、無事1.0.1gへ上がった\(-o-)/

ちなみにフォーラムとか読むと、opensshの方はopensslライブラリの影響は
受けないっぽい模様…

143 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 23:53:47.95 ID:lwUhlwbwO
>>138
Win8系がアンドロイド並に勝手に情報を送信してるスレも全然延びなかったな
くわばらくわばら

144 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/09(水) 23:55:56.45 ID:e4MdTbdX0
0.9.8と1.0.0ばかりで助かったが
恐ろしいバグだったな

145 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 02:27:20.64 ID:15NTUPWG0
クライアント側はどうにもできないよね

146 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 02:28:58.80 ID:/dlKUl++0
2chはダイジョウブだってCMが言ってたな

147 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 02:37:57.70 ID:/JCYqif60
XP終了に追い打ちきたか

148 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 02:59:40.60 ID:E8JR1Yo20
一体何が始まるんです?

149 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 06:49:55.60 ID:mPiDy28s0
>>146
浪人と●の鯖が当該バージョンだった
昨夜突然つながらなくなったと思ったら、JimがOpenSSLのアップデート作業してたらしい
なおCMは病気でぶっ倒れてた模様

150 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 06:53:06.17 ID:qw8gwpxW0
>>39
ワンタイムパスをOTNPって略す人って…

151 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 10:26:32.22 ID:AmBm0hSp0
わざとだろ

152 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 11:02:29.94 ID:+/dM5UDi0
該当だったけど会員にパスワードリセットさせたほうがいいのかね

153 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 11:07:04.81 ID:IOS7HELT0
心臓出血、心臓破りってトコか

任意のメモリアドレスを読み出せるバグって事かな

154 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 12:16:19.18 ID:63858eWO0
>>138 だよな?w。視線回避レスが続くし、否定厨とか涌くしw。

俺がローカルドライブを検索したら、FFFTPとaviraが使ってたよw。

155 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 12:48:37.83 ID:TiVCHLFt0
サーバー証明書の秘密鍵を抜くことができるから、なりすましサイトに正式なサーバー証明書を組み込むことができてしまう。
DNSの改ざんと組み合わせれば、なりすましと判別するのが困難なフィッシングサイトが出来上がる。

ユーザーの不利益として考えられるのはこのあたり。

156 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 18:31:28.52 ID:79FpNXPg0
え、これ激やばじゃないの
なんで伸びてないの?!!

157 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 18:34:09.62 ID:86YFO8DB0
世界的にヤバすぎて話題にできないレベル

158 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 18:50:15.75 ID:edQlQvTk0
結局何がヤバイんだよ
httpsにアクセスしたらいろいろぶっこ抜かれんの?

159 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 19:05:39.71 ID:TJzGOKeZ0
squeezeはおkか良かったわー
lan内のpcは念のために鍵変えとくか

160 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 19:19:56.51 ID:Zp43XBLu0
>>155
これやべえな
今のうちに秘密鍵抜いておいて、騒ぎが沈静化した頃に抜いておいた秘密鍵を悪用すれば完璧
狙われやすい大企業なんかは秘密鍵をまた新しく生成してるんだろうか

161 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 21:05:47.35 ID:ozbi2g290
GnuTLSも先日セキュリティ関連のバグやらかしてなかったっけ?

162 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 21:41:21.98 ID:75HWI9lz0 ?PLT(13000)

>>1の続き

で、何が問題なの?
脆弱性があるバージョンのOpenSSLを採用しているサイトはこのリスト(https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt)の一番上にある45のサイト(確認した海外分だけで)。
サイトがOpenSSLの穴を塞いでも、まだ解決にはなりません。鍵を付け替える部分の作業が残ってます。鍵を挿げ替えた後でも、その前に漏れてしまった情報は二度と回収できないので、不安が一生つきまとうことに。
幸い決済の大手は大丈夫です。例えばAmazonもGoogleもMicrosoftも「not vulnerable(脆弱性なし)」でセーフ。しかし、ひょっとすると今回の脆弱性の被害は未曾有の規模かもしれませんね。確かめようもないことですが。
当面できることは限られています。とりあえず上記のリストで「vulnerable(脆弱性あり)」と記載のあるサイトには近寄らないことです。サイトが穴を塞ぐのを待って、パスワードは変更、という流れがいいと思います。

http://www.gizmodo.jp/2014/04/heartbleed1011.html

ニュース
ウェブ暗号化ソフトに重大なバグ、個人情報流出の恐れ
http://jp.reuters.com/article/topNews/idJPTYEA3907H20140410

The Heartbleed Bug
http://heartbleed.com/ (英語)

OpenSSLに重大なバグが発見される
http://maguro.2ch.net/test/read.cgi/poverty/1396927362/

重複しますが、ヤバすぎるので立て直しました

163 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 21:44:16.25 ID:75HWI9lz0
誤爆った

164 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 21:53:24.91 ID:ok8m9lv00
>>162のtop1000.txtをみて、現状を試してみたが日本でも多くみるドメインは対策されてるな
気になったのが No SSL: 512 Vulnerable: 48 Not vulnerable: 440 とあるんだけど
実際全体:vulnerableをカウントすると1048:96行あるんだが…

165 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 21:56:16.42 ID:ok8m9lv00
ああすまん最初にvulnerableなところをまとめて出してるから重複してるのか

166 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 22:01:45.13 ID:AUkR/ACQ0
オープン系扱ってるベンダとか大丈夫かこれ

167 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 22:06:00.72 ID:GiAaZDyn0
あんまりにも新しすぎるVersionを入れるってのも、
考え物なのかもな。

168 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 22:25:22.02 ID:KZNSTj7H0
0.9.8.0でyじゃないの見つけちゃったじゃん、確認中

169 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 22:57:07.96 ID:aO/al7Bn0
本家のセキュリティアドバイザリ
気になる奴は読んどけ。
ttps://www.openssl.org/news/secadv_20140407.txt

170 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 23:22:38.87 ID:Fr8FGEgX0
>>74
悪い人はみんなにお知らせなんてせんから目立たんだけや…

171 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 23:27:09.99 ID:aO/al7Bn0
>>74
スーパーハッカーさん達にも悪い人や良い人両方いるんや・・・
悪い人は、見つけても報告しないし、良い人が見つけて報告した情報を悪用するんやで・・・

172 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/10(木) 23:57:00.53 ID:KNyeANno0
うちの会社、これの危険度わからない人が7割越えてるんだが
エンジニアしかいないはずなんだが・・・

173 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/11(金) 01:31:07.26 ID:wrcEbj/00
んなもんIT業界で働いてれば当たり前のことだろ 3割わかってるならすげーよ

174 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/11(金) 03:13:51.59 ID:KxuhRjZI0
>>132
さくらの管理してるレンサバは問題ないみたい。もちろん専用サーバとかは別。

http://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=887
【重要】OpenSSL1.0.1に含まれる脆弱性について
> ※さくらのレンタルサーバ、さくらのマネージドサーバについては影響ありません。

175 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/11(金) 03:24:10.21 ID:E28gUPjP0
端的にいえば通信は暗号化されててもピア内ではクリアテキストなわけで
セキュア通信のつもりが自分のID/パスワードを暴露してる"可能性がある"って感じか

176 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/11(金) 05:35:52.19 ID:zBSv4v2N0
Viewが対策されたね

177 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/11(金) 05:49:38.07 ID:Qp+meEYU0
Viewて?

178 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/11(金) 06:24:02.78 ID:VA2sETns0
>>177
2chブラウザだよ。念のためにOpenSSLアップデートしたみたい。新BEにも対応
JaneView
http://toro.2ch.net/test/read.cgi/win/1376782567/938

179 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/11(金) 07:07:52.51 ID:nb4fTAy+0
>>173
IT業界でマネージャとか鯖構築を生業にしてる奴でも、SSLとSSHの区別が付いてない奴がいっぱいいるよw

180 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/11(金) 10:15:43.83 ID:Q3OI5hRG0
周知

181 :番組の途中ですがアフィサイトへの転載は禁止です:2014/04/11(金) 10:19:34.13 ID:Qp+meEYU0
>178
あ、やっぱり
thx

39 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)