openSSLの脆弱性問題のニュース

openSSLについてのバグ！？で問題になっていますが、私の解釈ですと、攻撃者がサーバに攻撃すると、サーバから６４kバイトのデータがメモリから盗まれ、秘密鍵等が流出する。と認識来ていますが、秘密鍵等ですが、メモリ上の６４kバイトなら、すべてのデータが、流出する可能性があるように感じますが、違いますか？メモリ上に展開される恐れのある物すべてに。

また、サーバがこのためアップデートするのは、理解でしますが、我々クライアントも何かアップデートをしました。が我々のアップデートは何をしたのでしょうか？
よくわからずにアップデートしてしまったのは、問題がありますが、攻撃されるのはサーバで、サーバから攻撃される恐れがあるための、アップデートでしょうか？

No.3 ベストアンサー 回答者： Gotthold 回答日時： 2014/04/28 01:34

質問者さんは理解しているかもしれませんが、

誤解を招く可能性があるので念のため。

> 回答No.2
> OpenSSLのバグなら、OpenSSLを導入していない人が
> アップデートしてどうなるということがありません。
openSSLはソフトウェア開発時に使うライブラリで
エンドユーザーが直接インストールする様なものではありません。

openSSLを組み込んだソフトウェアは多数存在し、
それらのソフトウェアを使っているなら問題になり得ます。

下記ページに影響を受けるソフトウェアがまとめられていましたが、
FFFTPやWinSCPの様な広く使われているソフトウェアも含まれています。

[参考] オンライサービスや製品のHeartBleed(CVE-2014-0160)の影響についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20140414/1397498442

No.2 回答者： vaidurya 回答日時： 2014/04/28 01:10

まず、OpenSSLをインストールしているのか?そこから考えましょう。

OpenSSLのバグなら、OpenSSLを導入していない人が
アップデートしてどうなるということがありません。

No.1 回答者： Gotthold 回答日時： 2014/04/28 00:43

> すべてのデータが、流出する可能性があるように感じますが、違いますか？

> メモリ上に展開される恐れのある物すべてに。
その通りで、openSSLを利用しているプログラムのメモリ空間上の情報はすべて流出可能性があります。

ただ、メモリ空間上のデータ配置の関係で
秘密鍵を盗むのは比較的難易度が高いそうです。

[参考] “Heartbleed”で秘密鍵を盗むのは難易度高、攻撃活動も現状では少数 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20 …
より引用
| 攻撃の難易度という観点では、パスワードやクレジットカード番号の方は
| 比較的簡単に窃取できるのに対し、秘密鍵はハードルが比較的高いという。

> 我々クライアントも何かアップデートをしました。
何かといわれても・・・何をアップデートしたのでしょうか？

一般論としては、openSSLの脆弱性はサーバーだけのものでは無いので
openSSLを使ったクライアントソフトウェアが存在した場合は
更新が必要になります。
というのも、今回Heartbleed脆弱性が見つかったHeartbeatという機能は
サーバーからクライアントに対して使うこともできるので、
悪意を持ったサーバーからクライアントに対して使うことも可能です。
（ただ、クライアントを狙うのはサーバーを狙うのよりは難しくなりますが。）

[参考] Android 4.1.1のリバースHeartbleed脆弱性
http://www.infoq.com/jp/news/2014/04/android_hea …
より引用
| TLS heartbeatには対称性があるため，
| クライアントとサーバのいずれがエンドポイントである場合にも悪用される可能性があるのだ。
| したがって，悪意を持ったサーバがパッチされていないクライアントに
| 不正なheartbeatを送信することで，クライアントの重要なデータを取得されることも考えられる。