|
ハートブリード()とは、2014年4月に発覚したオープンソース暗号化ライブラリ「OpenSSL」のソフトウェア・バグのことである。発表によると、認証局から認定を受けた「安全な」インターネット・Webサーバの約17%(約50万台)には盗難攻撃に対する脆弱性(弱点)があり、サーバーの秘密鍵や利用者のセッション・クッキーやパスワードを盗み出すことが出来る状態にある。 == 経緯 == OpenSSLの脆弱性がGitレポジトリに混入したのは2011年12月31日であり、原因はロビン・セゲルマンが提出し、OpenSSLの開発チームがレビュー(審査) した善意のパッチ(改善コード)である。脆弱性が混入したコードはOpenSSL バージョン1.0.1に幅広く採用され、2012年3月14日に公開された。 2014年4月、Googleのセキュリティーチームのニール・メータが2012年3月14日以降のOpenSSL 1.0.1シリーズの全ての版にバグ(不具合)があると発表した。このバグはTransport Layer Security(TLS)のハートビート拡張プログラムのサーバーメモリ操作のエラー処理にあった 。このバグは生存確認信号(Heartbeat)の発信毎に、アプリケーションメモリーを64キロバイトずつ露出する可能性があった〔。このバグは不適切なハートビート要求をサーバーに送信し、サーバーが返信する際に実行される。サーバーは通常は受け取った情報と同じ大きさのデータのバッファー(塊)を返信するが、バグにより境界検査が欠けていたので、バグがあるバージョンのOpenSSLはハートビート要求の大きさの妥当性を確認しない。その結果、攻撃者はサーバーのメモリを好きな大きさで見ることが出来る。このバグは脆弱性情報データベースの1つである「共通脆弱性識別子システム」のCVE-2014-0160番に登録された。 このバグをHeartbleed(心臓出血)と命名し、ロゴを作り、Heartbleed.comドメインを立ち上げてバグの説明を公開したのは、フィンランドのサイバーセキュリティ会社コデノミコンの3人の技術者である。コデノミコン社によると、最初にOpenSSLのバグを公表したのはGoogleのセキュリティーチームのニール・メータだが、コデノミコン社も独自に新しく開発中だった、暗号化、認証プロセスのテストツール検証の過程で発見していた〔。メータは詳細は語らずに、コデノミコン社を賞賛した。 監査ログの調査によると、数人の攻撃者は問題発覚の少なくとも5ヶ月前に欠陥を発見していた〔"No, we weren't scanning for hearbleed before April 7" 〕〔"Were Intelligence Agencies Using Heartbleed in November 2013?" , April 10, 2014, Peter Eckersley, EFF.org〕。ブルームバーグに対し2人の内部情報源は、アメリカ国家安全保障局は欠陥が混入してから短期間の内に欠陥に気づいたが、公表する代わりに秘密にして、欠陥を自分達の任務のために使うことにしたと証言した。しかしNSAはこの訴えを否定している。 基本的な対策はハートビートを使用しない(-DOPENSSL_NO_HEARTBEATS オプションを付けて再コンパイルする)か、脆弱性を修正したバージョン(1.0.1g以降)への更新となる〔。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「ハートブリード」の詳細全文を読む スポンサード リンク
|