openSSLについてのバグ!?で問題になっていますが、私の解釈ですと、攻撃者がサーバに攻撃すると、サーバから64kバイトのデータがメモリから盗まれ、秘密鍵等が流出する。と認識来ていますが、秘密鍵等ですが、メモリ上の64kバイトなら、すべてのデータが、流出する可能性があるように感じますが、違いますか?メモリ上に展開される恐れのある物すべてに。
また、サーバがこのためアップデートするのは、理解でしますが、我々クライアントも何かアップデートをしました。が我々のアップデートは何をしたのでしょうか?
よくわからずにアップデートしてしまったのは、問題がありますが、攻撃されるのはサーバで、サーバから攻撃される恐れがあるための、アップデートでしょうか?
No.3ベストアンサー
- 回答日時:
質問者さんは理解しているかもしれませんが、
誤解を招く可能性があるので念のため。
> 回答No.2
> OpenSSLのバグなら、OpenSSLを導入していない人が
> アップデートしてどうなるということがありません。
openSSLはソフトウェア開発時に使うライブラリで
エンドユーザーが直接インストールする様なものではありません。
openSSLを組み込んだソフトウェアは多数存在し、
それらのソフトウェアを使っているなら問題になり得ます。
下記ページに影響を受けるソフトウェアがまとめられていましたが、
FFFTPやWinSCPの様な広く使われているソフトウェアも含まれています。
[参考] オンライサービスや製品のHeartBleed(CVE-2014-0160)の影響についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20140414/1397498442
No.2
- 回答日時:
まず、OpenSSLをインストールしているのか?そこから考えましょう。
OpenSSLのバグなら、OpenSSLを導入していない人が
アップデートしてどうなるということがありません。
No.1
- 回答日時:
> すべてのデータが、流出する可能性があるように感じますが、違いますか?
> メモリ上に展開される恐れのある物すべてに。
その通りで、openSSLを利用しているプログラムのメモリ空間上の情報はすべて流出可能性があります。
ただ、メモリ空間上のデータ配置の関係で
秘密鍵を盗むのは比較的難易度が高いそうです。
[参考] “Heartbleed”で秘密鍵を盗むのは難易度高、攻撃活動も現状では少数 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20 …
より引用
| 攻撃の難易度という観点では、パスワードやクレジットカード番号の方は
| 比較的簡単に窃取できるのに対し、秘密鍵はハードルが比較的高いという。
> 我々クライアントも何かアップデートをしました。
何かといわれても・・・何をアップデートしたのでしょうか?
一般論としては、openSSLの脆弱性はサーバーだけのものでは無いので
openSSLを使ったクライアントソフトウェアが存在した場合は
更新が必要になります。
というのも、今回Heartbleed脆弱性が見つかったHeartbeatという機能は
サーバーからクライアントに対して使うこともできるので、
悪意を持ったサーバーからクライアントに対して使うことも可能です。
(ただ、クライアントを狙うのはサーバーを狙うのよりは難しくなりますが。)
[参考] Android 4.1.1のリバースHeartbleed脆弱性
http://www.infoq.com/jp/news/2014/04/android_hea …
より引用
| TLS heartbeatには対称性があるため,
| クライアントとサーバのいずれがエンドポイントである場合にも悪用される可能性があるのだ。
| したがって,悪意を持ったサーバがパッチされていないクライアントに
| 不正なheartbeatを送信することで,クライアントの重要なデータを取得されることも考えられる。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・14歳の自分に衝撃の事実を告げてください
- ・架空の映画のネタバレレビュー
- ・「お昼の放送」の思い出
- ・昨日見た夢を教えて下さい
- ・ちょっと先の未来クイズ第4問
- ・【大喜利】【投稿~10/21(月)】買ったばかりの自転車を分解してひと言
- ・メモのコツを教えてください!
- ・CDの保有枚数を教えてください
- ・ホテルを選ぶとき、これだけは譲れない条件TOP3は?
- ・家・車以外で、人生で一番奮発した買い物
- ・人生最悪の忘れ物
- ・【コナン30周年】嘘でしょ!?と思った○○周年を教えて【ハルヒ20周年】
- ・ハマっている「お菓子」を教えて!
- ・最近、いつ泣きましたか?
- ・夏が終わったと感じる瞬間って、どんな時?
- ・10秒目をつむったら…
- ・人生のプチ美学を教えてください!!
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・都道府県穴埋めゲーム
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
アンドロイドOSアップデートの...
-
PCでのAPEXで何度もアップデー...
-
Windows Media PlayerでCDが焼...
-
DynabookのBIOSアップデートのT...
-
Windows 10 アップデート後にof...
-
SIM無しアップデート方法
-
microsoft autoupdate ってやっ...
-
教えてgooにアプデ後からログイ...
-
PhotoshopCS5をアップデートす...
-
東芝BIOSアップデートVer6.50に...
-
GOM Player は、ネットに接続...
-
最近、iPhoneがおかしいです 私...
-
iPhoneの通知が何故か来なくな...
-
iPhoneアプリのLINEの音が鳴ら...
-
アンドロイドから通知無しで鳴る音
-
スマホ 電話の着信・受信履歴が...
-
3人のじゃんけんのプログラム
-
このPASMOの通知来ないようにで...
-
iPhoneからたまに、「ピピピピ...
-
VisualBasic6.0のFormat関数で...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
いきなりPDFのスキップ表示
-
PCでのAPEXで何度もアップデー...
-
SIM無しアップデート方法
-
MusicCenter For PC 再生できない
-
東芝BIOSアップデートVer6.50に...
-
DVDFab11に更新したらDVDコピー...
-
ゲートウェイPCのBIOSの更新
-
アンドロイドOSアップデートの...
-
リアルプレイヤーのオートアッ...
-
Windows 10 アップデート後にof...
-
GOM Player は、ネットに接続...
-
A/Sセンターとはなんですか?
-
oppo a79のOSのアップデートい...
-
Windows7で「筆ぐるめ ver15」...
-
DynabookのBIOSアップデートのT...
-
アンドロイド10を11にする方法...
-
asusのノートパソコンを使って...
-
CANONのZoomBrowser EXインスト...
-
レストラン『バーミヤン 』の無...
-
PcAnyWhere11.5で画面が真っ暗...
おすすめ情報