open ssl 脆弱性について

Question

open ssl 関係のlibeay32.dll　ssleay32.dll　(openssl shared library　ファイル説明、　the openssl toolkit 製品名)　という二つのアプリケーション拡張ファイルがあるのですが、openssl をインストールしたことがなく、おそらくspybot S＆Dについていたものだと思うのですが、openssl には脆弱性が存在しバージョンアップが必要と聞きました。

上記のファイルは削除すべきなのでしょうか？　すでにspybot S＆Dはアンインストールしてる状態で、なぜ残ってるのかがわからず、そのままにしていました。

また、openssl は自動で最新版にアップデートするのでしょうか？パソコン内でopen sslを検索しても、opensslというアプリケーション自体がなければ、脆弱性の問題はないのでしょうか？

よろしくお願いします。

Gotthold · Accepted Answer

> opensslというアプリケーション自体がなければ
OpenSSLはアプリケーションではありません。ライブラリです。

ライブラリというのはソフトウェアの部品のようなもので
単独で動作することはなく
他のアプリケーションから読み込まれることで機能を提供します。

OpenSSLは様々なソフトで使われているので、
たとえば、HeartBleed脆弱性では以下のようなソフトウェア・サービスに影響が出ました。

オンライサービスや製品のHeartBleed(CVE-2014-0160)の影響についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20140414/1397498442

対処ですが、そのOpenSSLのDLLを使っているアプリケーションが何かを調べて
そのアプリケーションを最新版にするのが良いでしょう。
（絶対使わないなら削除しても良いでしょう。）

なお、HeartBleed脆弱性はサーバー側の方が攻撃の影響を受けやすく
実際に大きく騒がれたのはサーバー側の方です。
しかし、クライアントの脆弱性を突くことも一応可能です。
とはいえ、クライアントのHeartBleed脆弱性をつくには
サーバーから攻撃する必要があるので危険性はサーバーよりは低いと思われます。
（悪意を持ったサーバーにアクセスさせないといけないから現実的でない。）

ただ、OpenSSLの脆弱性はHeartBleedだけではありませんし、
実際にその後にも見つかっています。

OpenSSLにまた危険度の高い脆弱性、中間者攻撃につながる恐れ、修正版が公開 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20140606_652154.html

また、脆弱性はOpenSSLだけでなくおよそすべてのソフトウェアに存在するものですから、
OpenSSLだけを気にするのではなく、
特にネットワークに繋がるOSやアプリケーションは可能な限り脆弱性がふさがれた最新版にしましょう。

ev8c · Answer

貴方は何かサーバを運用されているのでしょうか?
ssl の意味を理解されていますか？

http://www.atmarkit.co.jp/ait/articles/1301/23/news107.html
には、
>Webサーバの管理・運用担当者にとっては、安全に個人情報を伝送できるように、SSLによる
>暗号化通信機能をWebサーバに導入する必要に迫られることになる。

と書かれています。サーバを運用していなければ https://なんたら に接続する時に気をつければ良いだけの話でしょう。（つまり日頃からWEBサイトのURLを確かめること）

>openssl は自動で最新版にアップデートするのでしょうか？

そのような仕組みは無いようです。

open ssl 脆弱性について

> opensslというアプリケーション自体がなければ

貴方は何かサーバを運用されているのでしょうか?

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング