今、大騒ぎになっているOpenSSLのHeartbleed脆弱性の修正も含んでいるとのこと

　少々古い話になるが、ReadyNAS RN10200のファームウェアアップデートがリリースされていた。リリースノートはこちら。この中には、今巷で大騒ぎになっているOpenSSLのHeartbleed脆弱性の修正も含まれているそうだ。
　OpenSSLは通信の暗号化などで多く使われているし、確かOpenVPNでも使っていたな。モバイル端末等からインターネット経由でアクセスできるように設定しているNASも気をつけた方がいいかもね。実際、NETGEARのNASをインターネット経由でリモートアクセスする ReadyNAS Remote は VPNで NASと繋いでいるようだし、Heartbleed脆弱性が存在していたのかもしれないな。

　OpenSSLの Heartbleed脆弱性は、Version 1.0.1〜1.0.1f、または 1.0.2-beta という特定の間にリリースされたバージョンに存在しているそうで、これより古いバージョンのOpenSSLは大丈夫だし、当然最新版は修正済み。Mac OS X Mavericks でOpenSSLのバージョンを調べてみたら、

$ openssl version
OpenSSL 0.9.8y 5 Feb 2013

だったので大丈夫そう。AppleもMac OS X、iOSでは Heartbleed脆弱性の影響は無いと発表したようだ。

　しかし、この脆弱性を狙った攻撃は日々増加しているそうだ。昨日のニュースでは、ネット上のWebサーバから顧客のクレジットカード情報等が盗まれる恐れがあるとか、既に被害が出ているとか言っていたが・・・もし本当だとしたら、心臓出血（Heartbleed）という表現も決して大袈裟ではないね。

内ト / Apr 16th, 2014 21:10 / [ 編集 ] [ コメントする ] [ TrackBack(0) ]