openSSLについてのバグ!?で問題になっていますが、私の解釈ですと、攻撃者がサーバに攻撃すると、サーバから64kバイトのデータがメモリから盗まれ、秘密鍵等が流出する。と認識来ていますが、秘密鍵等ですが、メモリ上の64kバイトなら、すべてのデータが、流出する可能性があるように感じますが、違いますか?メモリ上に展開される恐れのある物すべてに。
また、サーバがこのためアップデートするのは、理解でしますが、我々クライアントも何かアップデートをしました。が我々のアップデートは何をしたのでしょうか?
よくわからずにアップデートしてしまったのは、問題がありますが、攻撃されるのはサーバで、サーバから攻撃される恐れがあるための、アップデートでしょうか?
No.3ベストアンサー
- 回答日時:
質問者さんは理解しているかもしれませんが、
誤解を招く可能性があるので念のため。
> 回答No.2
> OpenSSLのバグなら、OpenSSLを導入していない人が
> アップデートしてどうなるということがありません。
openSSLはソフトウェア開発時に使うライブラリで
エンドユーザーが直接インストールする様なものではありません。
openSSLを組み込んだソフトウェアは多数存在し、
それらのソフトウェアを使っているなら問題になり得ます。
下記ページに影響を受けるソフトウェアがまとめられていましたが、
FFFTPやWinSCPの様な広く使われているソフトウェアも含まれています。
[参考] オンライサービスや製品のHeartBleed(CVE-2014-0160)の影響についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20140414/1397498442
No.2
- 回答日時:
まず、OpenSSLをインストールしているのか?そこから考えましょう。
OpenSSLのバグなら、OpenSSLを導入していない人が
アップデートしてどうなるということがありません。
No.1
- 回答日時:
> すべてのデータが、流出する可能性があるように感じますが、違いますか?
> メモリ上に展開される恐れのある物すべてに。
その通りで、openSSLを利用しているプログラムのメモリ空間上の情報はすべて流出可能性があります。
ただ、メモリ空間上のデータ配置の関係で
秘密鍵を盗むのは比較的難易度が高いそうです。
[参考] “Heartbleed”で秘密鍵を盗むのは難易度高、攻撃活動も現状では少数 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20 …
より引用
| 攻撃の難易度という観点では、パスワードやクレジットカード番号の方は
| 比較的簡単に窃取できるのに対し、秘密鍵はハードルが比較的高いという。
> 我々クライアントも何かアップデートをしました。
何かといわれても・・・何をアップデートしたのでしょうか?
一般論としては、openSSLの脆弱性はサーバーだけのものでは無いので
openSSLを使ったクライアントソフトウェアが存在した場合は
更新が必要になります。
というのも、今回Heartbleed脆弱性が見つかったHeartbeatという機能は
サーバーからクライアントに対して使うこともできるので、
悪意を持ったサーバーからクライアントに対して使うことも可能です。
(ただ、クライアントを狙うのはサーバーを狙うのよりは難しくなりますが。)
[参考] Android 4.1.1のリバースHeartbleed脆弱性
http://www.infoq.com/jp/news/2014/04/android_hea …
より引用
| TLS heartbeatには対称性があるため,
| クライアントとサーバのいずれがエンドポイントである場合にも悪用される可能性があるのだ。
| したがって,悪意を持ったサーバがパッチされていないクライアントに
| 不正なheartbeatを送信することで,クライアントの重要なデータを取得されることも考えられる。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
- ・ゆるやかでぃべーと タイムマシンを破壊すべきか。
- ・歩いた自慢大会
- ・許せない心理テスト
- ・字面がカッコいい英単語
- ・これ何て呼びますか Part2
- ・人生で一番思い出に残ってる靴
- ・ゆるやかでぃべーと すべての高校生はアルバイトをするべきだ。
- ・初めて自分の家と他人の家が違う、と意識した時
- ・単二電池
- ・チョコミントアイス
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
MusicCenter For PC 再生できない
-
リアルプレイヤーのオートアッ...
-
Windows Media PlayerでCDが焼...
-
アンチスパイウェアAD-AwareSE...
-
SpywareBlaster について
-
B's Recorder GOLD9のアップデ...
-
年賀状ソフトは、毎年アップデ...
-
DynabookのBIOSアップデートのT...
-
Windows7で「筆ぐるめ ver15」...
-
東芝BIOSアップデートVer6.50に...
-
ゲートウェイPCのBIOSの更新
-
SIM無しアップデート方法
-
Xperia Arcのアップデートについて
-
ソフトウエアアップデードをし...
-
最近、iPhoneがおかしいです 私...
-
iPhoneアプリのLINEの音が鳴ら...
-
ファミリーリンクの通知が消え...
-
アンドロイドから通知無しで鳴る音
-
電話の着信が来てないのに着信...
-
moto g52j 5Gを使ってるのです...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
PCでのAPEXで何度もアップデー...
-
SIM無しアップデート方法
-
oppo a79のOSのアップデートい...
-
ゲートウェイPCのBIOSの更新
-
リアルプレイヤーのオートアッ...
-
MusicCenter For PC 再生できない
-
DynabookのBIOSアップデートのT...
-
東芝BIOSアップデートVer6.50に...
-
A/Sセンターとはなんですか?
-
CANONのZoomBrowser EXインスト...
-
Windows 10 アップデート後にof...
-
PhotoshopCS5をアップデートす...
-
イラレで立体文字を作っていま...
-
テレビソフトのsmartvisionが映...
-
adobeのアップデートは無料なの...
-
Creative Cloud Desktopを更新...
-
アドビリーダー>アップデート...
-
「Adobe Acrobat XI Pro 多言...
-
Painter2019について コーレル...
-
AQUOS sense 4 plus はカメラの...
おすすめ情報