【技術】OpenSSLの重大バグが発覚=インターネットの大部分に影響at NEWSPLUS
【技術】OpenSSLの重大バグが発覚=インターネットの大部分に影響 - 暇つぶし2ch133:名無しさん@13周年@転載禁止
14/04/08 18:52:21.44 mc6A31zJ0
>>110
おまえが死んだほうがいい。

134:名無しさん@13周年@転載禁止
14/04/08 18:52:36.56 ww2fl5Wm0
>>132
頭フリフリ

135:名無しさん@13周年@転載禁止
14/04/08 18:52:49.51 QLHkMGyX0
>>131
全然ダメダメじゃんかなりやばいす

136:名無しさん@13周年@転載禁止
14/04/08 18:54:24.17 zTL6Z7Qk0
 


焦ってmakeしているやつもいようが

makeしたら負けである。



 

137:名無しさん@13周年@転載禁止
14/04/08 18:55:00.01 6PS7dItC0
俺が2年前から無職なのもコレが原因か!!!(´・ω・`)

138:((((:゚Д゚)<ぉぁーコロコロ7 ◆EFvlPnIYE33o @転載禁止
14/04/08 18:56:19.53 VLmNPWpS0
>>125
(: ゚Д゚)は、はいっ!

139:名無しさん@13周年@転載禁止
14/04/08 18:57:18.83 LMkPkfVe0
>>131
Fedoraの最新は 20 だぞ、
まぁ、それでも OpenSSLは 1.0.1e-37 (build date: 2014/1/7)
だからアウトだろうけどw

140:名無しさん@13周年@転載禁止
14/04/08 18:57:39.65 layTC64e0
apacheが絡んでいるんじゃ、やっぱり被害は甚大だな
iis使っているwindows Serverはどうなんだろう

141:名無しさん@13周年@転載禁止
14/04/08 18:58:40.64 vQ3lpmDXi
>>137
彼氏に振られたのもコレが原因か!!!(´・ω・`)

142:名無しさん@13周年@転載禁止
14/04/08 19:00:19.37 Pmp9B3rk0
これって情報打ち込んだ側では何の手も打てないって事だよね
受け取ってた側もエライ事になりそうだが

143:名無しさん@13周年@転載禁止
14/04/08 19:00:34.19 LxtH7pbh0
痕跡が一切残らないっていうのがちょっとねぇw
どうしようもないな。もうどこかに情報は蓄えられてるんでしょうねぇ。

そして銀行が本当に困っている問題:ATMをwinXPでやっていたのにサポートが停止された件の方
っていうw

144:名無しさん@13周年@転載禁止
14/04/08 19:00:39.53 oVCQgO3k0
URLを入力するとそのサイトのWebサーバーの種類をSSLのバージョンも含めて
調べてくれるサイトってなかったっけ?

145: 忍法帖【Lv=40,xxxPT】(1+0:5) @転載禁止
14/04/08 19:01:02.55 22xIIC/4O
いや全部俺のせい

146:名無しさん@13周年@転載禁止
14/04/08 19:01:29.94 tYkcyPHF0
商用のサービスでFedoraなんて使ってるところがあるとは思えないけどw

147:名無しさん@13周年@転載禁止
14/04/08 19:02:36.82 0Vgc9flL0
RedHatとかはどうなんだろうな。
つか、2年も経って今さらお漏らしかよ。。。

148:名無しさん@13周年@転載禁止
14/04/08 19:02:50.76 /ItQEpGw0
>>144
パケキャプすればいいじゃん

149:名無しさん@13周年@転載禁止
14/04/08 19:03:29.81 LRMeBqTm0
クレカも作れないお前ら大勝利だなwwwwwwww

150:名無しさん@13周年@転載禁止
14/04/08 19:04:32.36 QLHkMGyX0
解読したい秘密鍵があるんだけど、もうツールとか出てる?

151:名無しさん@13周年@転載禁止
14/04/08 19:05:15.23 5V9owKok0
代引厨の俺には関係ないな

152:名無しさん@13周年@転載禁止
14/04/08 19:05:52.79 WfPI0Cua0
ほとんどのサーバーは0.9.8だろう。
でもなんでSSLにハートビートを入れる必要が有ったのか不思議だ。

153:名無しさん@13周年@転載禁止
14/04/08 19:06:04.01 68QB/ayJ0
>>25
 ガン1丁で、ダムが壊せた

154:名無しさん@13周年@転載禁止
14/04/08 19:06:16.89 LxtH7pbh0
>>144
これ?
URLリンク(site-alert.net)

155:名無しさん@13周年@転載禁止
14/04/08 19:06:25.39 N3PK9iRD0
OpenSSLに重大バグって、そこらへんのソフトのセキュリティみんなアウトやんけ

やっぱりネットに繋ぐPCは専用機にしてLANに入れない。これ最強。
ダウンロードしたデータは物理メディアで他のPCに移動。

156:名無しさん@13周年@転載禁止
14/04/08 19:07:04.98 oVCQgO3k0
>>148
キャプした後の解析ってどうやればいいの?
使用バージョンが生で書いてあるわけじゃないんでしょ?

157:名無しさん@13周年@転載禁止
14/04/08 19:07:13.24 L+SMQEw00
XP終了の日に合わせてきたのは何か理由があるの?

158:名無しさん@13周年@転載禁止
14/04/08 19:08:25.99 u2MvwO1E0
>>80
ミンメイの声が出なくなった

159:名無しさん@13周年@転載禁止
14/04/08 19:09:22.98 mc6A31zJ0
預金データなんか
いくら何重にバックアップしてても
オンラインでつながっているかぎり
すべて駄目になる可能性があるからな~

160:名無しさん@13周年@転載禁止
14/04/08 19:11:01.02 ftaFpsEy0
別にこの程度ならまだいい(嫌だし気持ち悪いし許せないけど)。

もし金融取引がシャットダウンするバグだったら?世界が同時終了するんだよね?

161:名無しさん@13周年@転載禁止
14/04/08 19:11:55.84 QLHkMGyX0
OpenSSLってサーバ以外にどんなことに使われてるの?

162:名無しさん@13周年@転載禁止
14/04/08 19:12:50.98 sPJb5cep0
とりあえず、tar ball拾って来いや

yumに安易に堕落してると、少ししんどいかもな

163:名無しさん@13周年@転載禁止
14/04/08 19:13:03.99 EIm3WFPf0
>>136
heartbeatsを外してmakeした俺大勝利!!

164:名無しさん@13周年@転載禁止
14/04/08 19:13:32.08 2MLHmAcq0
以前は、linuxをソースからコンパイルして使ってたけどopenSSLって滅茶苦茶使ってるじゃん。
どうするのこれ?

165:名無しさん@13周年@転載禁止
14/04/08 19:14:29.78 1F62disaO
スレとは関係ないが最近特定のページがよく開けなくなる
リロードすると大丈夫だったりするんだけど

166:名無しさん@13周年@転載禁止
14/04/08 19:15:45.89 tYkcyPHF0
これを機にGnuTLSに切り替えるソフト多数、なんてことにはならんか

167:名無しさん@13周年@転載禁止
14/04/08 19:16:00.85 YFhxxx2w0
インターネットってアメリカの軍事産業から生まれたんだろ?
社会がここまでネット社会になったら
もし万が一アメリカがインターネットに何かを仕込んでたら
終わりじゃね?

168:名無しさん@13周年@転載禁止
14/04/08 19:17:18.08 58okCr1r0
とりあえず金扱うサイトのパスワードを変えておけば大丈夫?

169:名無しさん@13周年@転載禁止
14/04/08 19:17:40.53 iV9s6Qtw0
>>115
あーよかった。NetBSDで。

170:((((:゚Д゚)<ぉぁーコロコロ7 ◆EFvlPnIYE33o @転載禁止
14/04/08 19:17:42.51 VLmNPWpS0
>>167
(: ゚Д゚)MMRであったな~
人工知能・ホーリーソルジャープロジェクト

171:名無しさん@13周年@転載禁止
14/04/08 19:18:03.23 BXlXic6x0
>>94
wwwww >>35が素晴らしすぎたね。 

172:名無しさん@13周年@転載禁止
14/04/08 19:18:19.27 vQ3lpmDXi
>>167
インターネットって、アメリカを起点に全世界に伸びているんだぜ。

その時点でまあ、お察しください。

173:名無しさん@13周年@転載禁止
14/04/08 19:18:32.92 hC+nxA6t0
>>168
究極的には通信内容が漏れる可能性がある、という問題だから
サイトが安全宣言出すまでログインすらしないほうがいいよ

174:名無しさん@13周年@転載禁止
14/04/08 19:18:41.72 ++CxHaiE0
>>167
もしそんなものがあったら、既に誰かが暴いているよ
結局は一企業の持ち物でしかないWindowsとの違いはそこにある

175:名無しさん@13周年@転載禁止
14/04/08 19:19:28.04 0Vgc9flL0
お漏らしすんの、64キロバイトまでじゃなくて、ハートビート1回当たり64KBなんな。
セッション切れるまでずっと64KBずつ漏らし続けるのか。
お漏らしとかいうレベルじゃねぇな。。。

176:名無しさん@13周年@転載禁止
14/04/08 19:19:45.73 Pmp9B3rk0
安全声明出さなきゃいけないサイトっていくつに上るんだろう
気が遠くなりそう

177:名無しさん@13周年@転載禁止
14/04/08 19:20:33.96 BXlXic6x0
>>119
S ee
S u
L u-

178:名無しさん@13周年@転載禁止
14/04/08 19:20:48.75 Am+91LqS0
>>167
すべてアメリカ様に筒抜けとおもってればよろし

179:名無しさん@13周年@転載禁止
14/04/08 19:21:43.11 Bq6i9+6N0
ネット通販使わない俺大勝利

180:名無しさん@13周年@転載禁止
14/04/08 19:22:13.88 ftaFpsEy0
>>174
これからやることも出来るだろ??

181:名無しさん@13周年@転載禁止
14/04/08 19:22:50.85 iV9s6Qtw0
はじめまして。いつもご利用させていただいております。
この度Cisco機器(ルータ及びスイッチ)にSSHにてLoginできるように設定を
行いLoginまでは確認できたのですが、そのまま何もオペレーションを行わずに
開いたままにしておくとコンソール上にssl-heartbeatという文字列が勝手に
入力されてしまうという現象が発生しており困っております。

↑これすごいな

182:名無しさん@13周年@転載禁止
14/04/08 19:23:45.08 VmvUu8Dn0
今893がIT技術者の多重債務者を全力で探してます

183:名無しさん@13周年@転載禁止
14/04/08 19:25:38.22 kPwDf7ff0
もー、全部買い物はプリペイドにするのが正解だな
コンビニで気軽に買えるようになったし

184:名無しさん@13周年@転載禁止
14/04/08 19:26:02.13 xhzbD4dg0
>>182
探さなくても、つくればいいのよ

185:名無しさん@13周年@転載禁止
14/04/08 19:26:35.22 BXlXic6x0
てか、これ個人に責任は無いよな?
被害は補償されるはず。

186:名無しさん@13周年@転載禁止
14/04/08 19:29:30.56 s/2VaR120
面倒だけど決済にカード使わなかった私の勝利って事かな?
便利なものほど危険が伴うが母の遺言だから守ってよかった

187:名無しさん@13周年@転載禁止
14/04/08 19:30:02.06 jYZr2+EyO
>>185
有志の皆様が作った名無しのソフトコードだから
責任の所在が不明にだからな。
訴えたくても被告が見つからない。

188:名無しさん@13周年@転載禁止
14/04/08 19:31:56.97 C3oPQqkI0
バグなら直ぐ治るでそ。
脆弱性ならやばいけど。

189:名無しさん@13周年@転載禁止
14/04/08 19:32:05.85 0Vgc9flL0
情報システム板にスレすらたってなくてワロタw

190:名無しさん@13周年@転載禁止
14/04/08 19:33:05.75 PN5vKbsO0
>>1
OpenSSLは、SSLプロトコル・TLSプロトコルのオープンソースな実装・・・
ではあるが、

>過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、
>システムメモリー上にある大量のデータを暴露することが可能だ。

  ★ 解読までのハードル高くね?

191:名無しさん@13周年@転載禁止
14/04/08 19:36:54.00 uOIl0UBH0
もうぬるぽ

192:名無しさん@13周年@転載禁止
14/04/08 19:39:36.23 O23Qeei80
>>68
自分で書いておいて言い訳するなんて見苦しいわ

193:名無しさん@13周年@転載禁止
14/04/08 19:40:48.51 xGyviRL/0
>>131
CentOSってもうyumでアプデするだけで大丈夫じゃないの?

194:名無しさん@13周年@転載禁止
14/04/08 19:51:25.21 +lsf7uXy0
>>175
福島レベル?

195:名無しさん@13周年@転載禁止
14/04/08 19:52:28.28 50UBzZ9p0
あら、知らない間に日本ベリサインがシマンテックになってた。
世の中変わっていくのね~

196:名無しさん@13周年@転載禁止
14/04/08 19:53:35.60 HkZlcwXpi
ルーターとかの組み込み機はSSL切るしか無いのかな

197:名無しさん@13周年@転載禁止
14/04/08 19:56:13.47 ftaFpsEy0
>>178
それがアメリカの強さの秘密だからねー( ´_ゝ`)

198: 忍法帖【Lv=40,xxxPT】(1+0:5) @転載禁止
14/04/08 19:58:51.03 3Ipo9D4AO
>>109
銀行の基幹業務システム(ATMや決済関係)自体は、インターネットとは別の完全に閉じた系になっているから大丈夫なんじゃね?
ネットバンキングに関わる部分だけがヤバイと思う

199:名無しさん@13周年@転載禁止
14/04/08 20:03:40.77 Q0ctq8cP0
>>9
OpenSSLで独自のCA立ててる所が影響あるんじゃね?

200:名無しさん@13周年@転載禁止
14/04/08 20:04:21.84 c2ULYvT10
家のサーバは、SSLのポート空いてないから大丈夫だな。そもそもSSL使ってないけど。

201:名無しさん@13周年@転載禁止
14/04/08 20:23:08.32 jKo8+0+W0
取り敢えずネット購入は控えるしか無いのかもね

202:名無しさん@13周年@転載禁止
14/04/08 20:31:05.10 v6UUaJnZ0
Vプリカでよかった

203:名無しさん@13周年@転載禁止
14/04/08 20:37:47.76 OU8ZRKT10
>>131
何じゃそりゃ!だな
対策担当しなきゃいけない皆様ご苦労様です
いまやってなくてよかった

204:名無しさん@13周年@転載禁止
14/04/08 20:39:07.71 zebtjJDp0
大多数を占めると思われるrhやco使ってれば対象外じゃん

205:名無しさん@13周年@転載禁止
14/04/08 20:39:28.85 jKo8+0+W0
>>52
控えめに言ってってのは英語独特の表現だよw
つーか、今も開いてるネットショッピングサイトってマジ大丈夫なんか?
緊急メンテメールどっからも来ないけど…

>>59
ぶっちゃけ、個人情報入力や買い物をして無ければ
バラされても損害無いだろwwwww

>>85
利用額/内容チェックが今後半年ぐらいは必須かもね
つーか対策済を公表してくれんとアクセスするのが怖いんですがwww

>>105
うまくすれば通販の恥ずかしいお買い物履歴が公表されるのかもねwwwwwwww
てか、それ以前にカード情報抜かれたら悪用されるぞ

ああ、Gメールとかのssl使ってるWebメールも危険かも?????
ぐぐるの発表待つしかねーのか…

>>194
多分チェルノブイリか白頭山噴火レベルw

206:名無しさん@13周年@転載禁止
14/04/08 20:41:37.91 jKo8+0+W0
発見者はGoogleセキュリティーチームの奴か…
ならGメールもう大丈夫かねえ???

207:名無しさん@13周年@転載禁止
14/04/08 20:42:43.42 5vGE5Z8R0
まじすか。もうWebでhttpsページの鍵マークあっても
信用できないって事だな。
ベリサイン大儲けしそうな悪寒。

208:名無しさん@13周年@転載禁止
14/04/08 20:44:27.32 jKo8+0+W0
>>207
いや…そのベリサインの認証が役に立たなくなるって事ではと…
認証に使ってる暗号化技術が壊されたって事でしょ、これ

209:名無しさん@13周年@転載禁止
14/04/08 20:47:26.37 jKo8+0+W0
つーか、午後5時過ぎに情報が日本語で流れたってんなら
大手企業のシス担はまだこの情報を知らない可能性ない?
本当、大丈夫かこれ?
戦争やっててミサイル防空網が破られたのと同じではないの?????

210:名無しさん@13周年@転載禁止
14/04/08 20:47:54.13 ujms7Id/0
>>208
暗号化技術は壊されていない
OpenSSLのバグを修正して、ベリサインなどに新しい鍵を作ってもらう

211:名無しさん@13周年@転載禁止
14/04/08 20:52:27.32 lUl0O2f50
>>206
黙ってるバグがありそうで嫌だw

212:名無しさん@13周年@転載禁止
14/04/08 20:52:44.23 Dp3lHJvy0
インターネットの暗号化技術は何処かで一度完全に破綻すると思ってるけどな。

213:名無しさん@13周年@転載禁止
14/04/08 20:53:02.37 5vGE5Z8R0
>>208
どちらかというと、ベリサインとかに頼らない
独自のサーバー立ててるところがヤバそう。
で、仕方なくEA証明書とかに頼らざるを得ない
みたいな流れかと。

214:名無しさん@13周年@転載禁止
14/04/08 20:54:19.87 DzUH299Ti
NSAが~

215:名無しさん@13周年@転載禁止
14/04/08 20:57:05.20 jKo8+0+W0
>>210
>>213
暗号運用プログラムが一部バグあった=今ssl運用出来ない=暗号化にならない通信しか出来ない
じゃないん?
バグ修正まだっしょ???

216:名無しさん@13周年@転載禁止
14/04/08 20:58:36.29 YS/haiVx0
記事の内容からすると、攻撃で入手できるシステムメモリ上のデータは
暗号化されてる状態なのか?それなら復号キーさえ漏れなければ暫くは大丈夫だが。
しかし、コンピュータの性能が急激に上がったり、
暗号方式自体に問題が見つかったりすれば、いつか暗号は破られる。
墓まで持っていかなければいけない情報は絶対にクラウドに置いたりしてはいけない。

217:名無しさん@13周年@転載禁止
14/04/08 21:01:04.33 PN5vKbsO0
 
     バカの見本   → ID:jKo8+0+W0

218:名無しさん@13周年@転載禁止
14/04/08 21:01:47.78 jKo8+0+W0
今日の午後出たって書いてある緊急パッチあてて暗号鍵鯖蔵とも再実装すればもうOKなの???
現在の進行状況がわからんち会長

219:名無しさん@13周年@転載禁止
14/04/08 21:03:07.07 FmsOoWRe0
今日debianでアップデート来てたやつか
昨日、この記事読んでたら怖かったわ

220:名無しさん@13周年@転載禁止
14/04/08 21:03:15.05 RTpczgVO0
なんかまかり間違ってオレの借金がなぜか返済完了したってことにならねーかな

221:名無しさん@13周年@転載禁止
14/04/08 21:03:45.35 ALLdhj5OO
>>31
どっかからユニコーン持ってこいってこと?

222:名無しさん@13周年@転載禁止
14/04/08 21:04:02.96 jKo8+0+W0
>>217
鍵が漏れてないと言う根拠は?
つかお前が今回の騒ぎで損害が起きたら全保証してくれるんかw

223:名無しさん@13周年@転載禁止
14/04/08 21:04:15.15 V8+zwpNB0
あかんこれ

224:名無しさん@13周年@転載禁止
14/04/08 21:11:02.06 FmsOoWRe0
>>131
俺のはsidとjessieだけど
wheezyも今日の+deb7u5で対策してるんだと思う

225:名無しさん@13周年@転載禁止
14/04/08 21:12:50.32 LqBBAgey0
コンビニ払いと代引きしか使わない俺の勝ちか

226:名無しさん@13周年@転載禁止
14/04/08 21:14:51.68 jKo8+0+W0
Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

ダメな感じの鯖使ってる人はOpenSSL 1.0.1gにうpデすべし
すぐにわ無理だったらOpenSSLを -DOPENSSL_NO_HEARTBEATSオプションでリコンパせれ
でおkか?

227:名無しさん@13周年@転載禁止
14/04/08 21:15:13.73 HkZlcwXpi
>>225
何を買ったのかが垂れ流し

228:名無しさん@13周年@転載禁止
14/04/08 21:15:40.39 eBlDP/FJ0
つまりどういうことだってばよ。

229:名無しさん@13周年@転載禁止
14/04/08 21:15:56.06 YkgruMfG0
>>80
マクロスが真っ黒スになる

230:名無しさん@13周年@転載禁止
14/04/08 21:15:58.75 LqBBAgey0
>>227
エ、エロイものなんか買ってないもん!

231:名無しさん@13周年@転載禁止
14/04/08 21:17:43.62 lNJhhHOI0
インターネット廃止にしろや

232:名無しさん@13周年@転載禁止
14/04/08 21:18:01.07 ZPjJF1B70
heartbeatってなんなの
波紋なの

233:名無しさん@13周年@転載禁止
14/04/08 21:18:06.09 eBlDP/FJ0
OpenSSLを使わなければいいじゃない。

234:名無しさん@13周年@転載禁止
14/04/08 21:22:54.98 Jo0sN9fK0
Amazonの購入履歴が暴露されたら、死ぬ

235:名無しさん@13周年@転載禁止
14/04/08 21:29:19.98 KayGLlGZ0
>>232
サーバーやルーターが出す「生きてますよ」のサインだったかな?

236:名無しさん@13周年@転載禁止
14/04/08 21:30:34.61 dHPn/EYv0
>>85
まあバンキングは乱数のカードあるなら大丈夫か
クレカはやばいな

237:名無しさん@13周年@転載禁止
14/04/08 21:32:15.86 CxWoE0EJ0
これ秘密キー取られたら大変なことになるで

238:名無しさん@13周年@転載禁止
14/04/08 21:32:29.16 +aEm/9UP0
>>234
みんなバレるんだから大丈夫だろ

239:名無しさん@13周年@転載禁止
14/04/08 21:34:06.14 sRt3bpdP0
mjd?

240:名無しさん@13周年@転載禁止
14/04/08 21:35:58.56 aUH6eWfp0
やるなよやるなよ、分かってるな?ってサイン出してんのか

241:名無しさん@13周年@転載禁止
14/04/08 21:38:15.69 13z6gM6d0
バグがたくさんの商売を作りだしてる
バグ万歳

242:名無しさん@13周年@転載禁止
14/04/08 21:39:54.04 Vh9qc2WN0
>>25
ジオンは必死に軍とモビルスーツの秘密を守ってたつもりだったが、ジオンの軍事コンピューターにはバグがあって連邦には筒抜けだった。
短期間でどのジオンモビルスーツにも負けないガンダムが作れたのはそのせいだった。

243:名無しさん@13周年@転載禁止
14/04/08 21:40:52.44 HkZlcwXpi
>>241
でも保守サービスで喰えるかというと
こういう場合の緊急メンテ料が高いと
じゃあサーバ停めましょう。
と言われて終わる。

244:名無しさん@13周年@転載禁止
14/04/08 21:42:37.04 lH9d73aY0
急遽XPのサポートが延長されるのか

245:名無しさん@13周年@転載禁止
14/04/08 21:44:25.57 x7Q72cFg0
うへー
対応するの嫌だなー@インフラ

246:名無しさん@13周年@転載禁止
14/04/08 21:44:58.08 lfJb0G2m0
普通はCERTで数ヶ月前から関係者には公開されて
公開日には対策済みって流れなのに
今回は影響がでかすぎで即日公開なのか?

247:名無しさん@13周年@転載禁止
14/04/08 21:50:57.54 TetbpEAE0
yamahaルータ死亡?

248:名無しさん@13周年@転載禁止
14/04/08 21:52:00.61 7YKuVX4k0
Amazonとか楽天とかYahoo!ショッピングにクレカ登録してあるんだけどヤバイんですか・・・?

249:名無しさん@13周年@転載禁止
14/04/08 21:54:45.12 RsnHS0aE0
wahaha........

250:名無しさん@13周年@転載禁止
14/04/08 21:55:55.17 H2bYlcWL0
>>7
それいうならCIAじゃなくてNSAだろ

251:名無しさん@13周年@転載禁止
14/04/08 21:57:25.96 HkZlcwXpi
>>248
不正取引と申告した際に請求を止めてくれる
クレカかどうかできまるんじゃ無いかな。

でも実際にこの件で被害にあった場合には個人なんかより
銀行やクレジット会社側の被害額がやばい話し。

252:名無しさん@13周年@転載禁止
14/04/08 21:59:26.01 c2afWPlU0
AviraFree Antivirusを確認したらこれの1.01e使っててワロタが
一回切って自分で更新した方がいいのかアップデートを待つべきなのか

253:名無しさん@13周年@転載禁止
14/04/08 21:59:34.29 9u216xQA0
ライブラリとして使っている個所にバグがあるのだから、
使わなければ良い。

鍵屋さんの鍵生成マシンにバグがあって、なぜかそこの鍵屋さんで造った鍵だと
ドアの施錠が甘くなるってことだよな。
その甘くなったドアの隙間から同じ鍵のレシピが見えるようなものだ。

254:名無しさん@13周年@転載禁止
14/04/08 21:59:53.59 ftaFpsEy0
>>238
富裕層はバレない。

255:名無しさん@13周年@転載禁止
14/04/08 22:01:35.92 9zESIgLS0
>>248
楽天はApache使ってるけど、opensslのバージョン次第じゃない?
トップページじゃまだ無にも発表してないし、黙り決め込むかな。

256:名無しさん@13周年@転載禁止
14/04/08 22:03:52.41 L0i3zSYJ0
そんなバグをつつけるほどの人材なんてほんのわずか

257:名無しさん@13周年@転載禁止
14/04/08 22:06:09.82 Iu0ydCgS0
CentOS6もすでにパッチ当たってるわ。
とりあえず片っ端からyumで更新→再起動かけた。明日の説明めんどくせぇ。

258:名無しさん@13周年@転載禁止
14/04/08 22:09:46.19 HkZlcwXpi
>>257
就業時間中に2ch見てて知りましたとか…

259:名無しさん@13周年@転載禁止
14/04/08 22:14:12.43 49l/5Zkf0
Closeしとけよ

260:名無しさん@13周年@転載禁止
14/04/08 22:16:31.55 ckSd7zCr0
具体的に俺等にどのような影響がるんだろう
バカにも判るように頼むわ

261:名無しさん@13周年@転載禁止
14/04/08 22:21:10.56 jQJ8UD/P0
>>256
あっという間に便利なフロントエンドが出てきて3秒ハッキング出来るようになるぞ

262:名無しさん@13周年@転載禁止
14/04/08 22:22:57.35 Iu0ydCgS0
>>258
なんでわざわざ地雷踏むのさw

263:名無しさん@13周年@転載禁止
14/04/08 22:26:40.38 DRwCGHDI0
1.0.1g にアップデートするのは簡単だけど
秘密鍵盗まれた可能性を考えると証明書全部再発行せんといかん

自前CA局発行の200枚くらいあるんだけど・・・めんどくさい
Verisign とかで有償で取った奴はどーすんだよこれ・・・

264:名無しさん@13周年@転載禁止
14/04/08 22:57:36.57 r2KHneaO0
OpenOfficeアンインストールしてMS Office買ってきた。
やっぱり無料ほど高いものはないんだって痛感した次第です。

265:名無しさん@13周年@転載禁止
14/04/08 23:01:34.49 GGjoqbOj0
OpenOfficeはパッケージとしては無料でも、
無償奉仕による物では無いのでは

266:名無しさん@13周年@転載禁止
14/04/08 23:04:22.01 7LE4CrU40
例えば16桁の素数と16桁の素数をかけた値が暗号鍵とか、
暗号の仕組を知ってからは、鍵を最初から持ってないと解読不可能だと思った

267:名無しさん@13周年@転載禁止
14/04/08 23:07:48.68 jV3LamkG0
今日ソース落としてビルドしたー

268:名無しさん@13周年@転載禁止
14/04/08 23:09:12.70 SReDn7CXO
つまり借金がチャラってことなんだな?

269:名無しさん@13周年@転載禁止
14/04/08 23:09:25.84 9swuzd6S0
オープンソース安全論は?

270:名無しさん@13周年@転載禁止
14/04/08 23:11:52.77 SCGUatju0
よくわからないけどネットバンクやばし?

271:名無しさん@13周年@転載禁止
14/04/08 23:12:00.85 +PMp9Lhy0
>>246
もう昼過ぎにはexploit出始めてたのに
JVNにも出てなかったし、後手後手だね

272:名無しさん@13周年@転載禁止
14/04/08 23:12:21.87 PRG3tDml0
おやおや

273:名無しさん@13周年@転載禁止
14/04/08 23:14:15.38 zl7vcdVn0
さっきaptで何か出てたな。対策されたんだろうか。

274:名無しさん@13周年@転載禁止
14/04/08 23:14:33.03 xI+CIzVV0
やべーなこれ

275:名無しさん@13周年@転載禁止
14/04/08 23:17:57.53 KJ1i5BCj0
ガンダムの盾が実はガンプラで出来ていた

276:名無しさん@13周年@転載禁止
14/04/08 23:25:42.98 EnFX385M0
>>25
ジムの戦闘プログラムはガンダムの実戦データをもとにコピペされているが
どういうわけかザクやゲルググも同じパターンを学習していた

277:名無しさん@13周年@転載禁止
14/04/08 23:28:29.53 ATks7bqM0
俺の俺俺SSLは大丈夫だよな?

278:名無しさん@13周年@転載禁止
14/04/08 23:30:11.11 dDbCre000
株やFXやクレジット決済やネットバンキングやら、金の絡む所でいくらパスワードを類推しにくくしても、平文で流れてるようなものでは、どうにもならないな
これで損失を被っていたら、保障してくれるのかな?

279:名無しさん@13周年@転載禁止
14/04/08 23:32:31.39 4eT4bGKi0
あわわわわ・・・( ̄◇ ̄;)

280:名無しさん@13周年@転載禁止
14/04/08 23:34:05.65 17UW+0gZ0
>>183
> もー、全部買い物はプリペイドにするのが正解だな
> コンビニで気軽に買えるようになったし

というか、政府主導&強権発動してもいいからネットマネーを一つに統一してほしいわ
今いろいろやってるところにゃ申し訳ないけど、利便性高いものを親方日の丸にしてさ…

281:名無しさん@13周年@転載禁止
14/04/08 23:51:33.20 cHSu3vxf0
Cのポインターは機械語と論理レベルが同じ低水準なので、危険。
外部との通信用のプログラムは、Cじゃないセキュアな操作しか
できない言語あるいはそのような仮想マシンの上の命令列で
記述するようにしないとだめだね。

282:名無しさん@13周年@転載禁止
14/04/09 00:18:38.70 vzfBy3sx0
ポインタのサイズを自由に変えれるのかな

283:名無しさん@13周年@転載禁止
14/04/09 00:24:51.52 PJUha8KJ0
>>8
世界中に何億枚のクレカがあると思ってるんだよ。
ひょっとしたら何十億枚かもしれない。
そんだけあるどれかがハッキングされたって、自分のが当てはまる確率は、
ジャンボ宝くじで1等当たるより低いわけだが。

284:名無しさん@13周年@転載禁止
14/04/09 00:26:59.50 ytRX5cy50
オープンソースで世界中の人間が自由にソース読めるのに案外見つからないものなんだな

285:名無しさん@13周年@転載禁止
14/04/09 00:36:38.75 eLLb+kY00
無線LANとかWi-FiとかWiMAXとか全滅じゃね?

286:名無しさん@13周年@転載禁止
14/04/09 00:41:07.96 +07fFZ+r0
>>281
UNIX系OSやWindowsまで否定するのか

287:名無しさん@13周年@転載禁止
14/04/09 00:46:44.43 WXq/Q/6o0
>>281
それは無理

288:名無しさん@13周年@転載禁止
14/04/09 00:49:16.04 coOwL7Gh0
>>281
PHPのダメコードが今までどれだけのセキュリティ事故を起こしてきたことか・・・

でもまあ、マネージドコードでも大して問題なく書けるものはそっちのほうがいいやね。

289:名無しさん@13周年@転載禁止
14/04/09 00:57:58.96 w5dqpkU50
>>288
仮想マシンの上で動いて高級すぎない言語が一番なんだろうな。
JavaとかC++/CLIみたいな。あるいはLisp系とか。

290:名無しさん@13周年@転載禁止
14/04/09 01:00:05.25 vTSJ0E3Y0
>>131
Vine大勝利

291:名無しさん@13周年@転載禁止
14/04/09 01:01:46.27 9bq2GR2S0
3年ぶりにクレカ使ってネットで(恥ずかしい)買い物しようとしてたところだ
あぶないあぶない

292:名無しさん@13周年@転載禁止
14/04/09 01:13:04.45 ugUJVAJt0
>>289
Javaがどんだけ穴だしまくってるか知らんのか・・・

293:名無しさん@13周年@転載禁止
14/04/09 01:38:57.06 LySPBU/50
>>292
古いJVMはマルウェア扱いされるしな

294:名無しさん@13周年@転載禁止
14/04/09 02:00:48.59 5bx9uK+k0
うちの linux 2台、
 OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
 OpenSSL 1.0.1e-fips 11 Feb 2013
らしいんだけど、>>1 によれば前者はセーフで後者はアウト?
yum でアップデートかけたけどまだ新しいのは出てないみたいだ。

295:名無しさん@13周年@転載禁止
14/04/09 02:07:18.97 ihC35+jJ0
0.9.8も何か脆弱性あったよ
redhatが独自に塞いでるのかもしれないが

www.openssl.org/news/secadv_20130205.txt

296:名無しさん@13周年@転載禁止
14/04/09 02:13:09.58 iXXZqC8m0
>>295
そりゃ2013年2月の話で、0.9.8yが出て修正済み

297:名無しさん@13周年@転載禁止
14/04/09 02:19:19.46 Sr0wCFTA0
>>294
RHELかその眷属のCenOSなどだろうけど、それなら
rpm -q --changelog openssl
で変更履歴を参照してCVE-2014-0160が修正されてればおk

今回の脆弱性とは別にRed Hatのfipsパッチが気持ち悪いという人もいるけどな

298:名無しさん@13周年@転載禁止
14/04/09 02:26:51.43 5bx9uK+k0
>>295-297
ありがとう。
OpenSSL 1.0.1e の方は CVE-2014-0160 の問題は修正されてるっぽい。
OpenSSL 0.9.8e の方でも CVE-2013-0169 の問題は修正されてるっぽい。

299:名無しさん@13周年@転載禁止
14/04/09 02:27:50.51 coOwL7Gh0
>>297
おお、そんな方法が。。。
いつも一生懸命RHNのページをぐぐってバックポートを探していた。

300:298@転載禁止
14/04/09 02:31:12.39 5bx9uK+k0
って、あれ?
changelog は
> * Mon Apr 07 2014 Toma? Mraz <tmraz@redhat.com> 1.0.1e-16.7
> - fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
で 2014/4/17 に修正がかかってるんだと思うけど、openssl version では
> OpenSSL 1.0.1e-fips 11 Feb 2013
で 2013/2/11 版のようにも見える。
アップデート後再起動しないといけないんだっけ?

301:名無しさん@13周年@転載禁止
14/04/09 02:59:00.35 Sr0wCFTA0
>>300
opensslコマンドに引数でversionを渡したときの出力は変わらないでおk

RHEL系ではバージョンを上げずにバックポートで穴を塞ぐのが基本
バージョンアップでソフトの挙動が変わると客先で動かなくなるソフトが出るかもしれないから

というわけで、1.0.1eに1.0.1f~gで修正されたパッチを当てたものが入ってる
機能は1.0.1eのまま、でも1.0.1fまでの穴は塞ぎましたよってこと

RHELはバンドルされているソフトが古いと言われるゆえんでもあるけど
サーバの安定稼働を重視するポリシー

各ソフトの新機能を堪能したいかたはFedoraでイケイケバンバンしてね
Red Hat Linuxを有料化したRHELと無料のFedoraに分けたときの説明がこんなだったはず

302:名無しさん@13周年@転載禁止
14/04/09 04:05:27.72 r32KpCPt0
heartbeatをコッソリ仕込んだ奴が犯人

303:名無しさん@13周年@転載禁止
14/04/09 06:37:54.72 k5+WRHCC0
在日の井上弘  「ヤフーは災害協定している市町村の公務員に災害派遣等の手当を不正受給させて口止めさせるんだはw。
           そんで帳簿を改ざんさせて緊急防災・減災事業で確保された財源で携帯電話事業に洗浄参入ニダ。」

304:名無しさん@13周年@転載禁止
14/04/09 07:18:41.68 05ZIQcQZ0
1.0.0は問題ないの?

305:名無しさん@13周年@転載禁止
14/04/09 07:29:47.44 8n0QZ0o00
Amazonで買ったオナホールとかゼリーとか筒抜けなんですか?

306:名無しさん@13周年@転載禁止
14/04/09 07:50:41.37 MqmoQwQo0
今日から自社製品のパッチ作る作業が始まるのか

307:名無しさん@13周年@転載禁止
14/04/09 07:54:09.72 0fSu7nc50
よくわからんから、知っている人は教えてくれ。

企業などが持っているサーバーを、悪意を持ったヤツにアタックされた場合に
問題があるってこと?

308:名無しさん@13周年@転載禁止
14/04/09 08:17:25.00 tmCfeprN0
こういうの疎いんだけど
個人のパソコンだと何のソフトが危ないの?
openofficeは確定なの?
openSSLが含まれてるかどうか調べる方法は?

309:名無しさん@13周年@転載禁止
14/04/09 08:24:47.29 t+nh4+8Z0
>>307 >>308
あんま気にスンナ
しばらくネットで買い物しなければ良すし

310:名無しさん@13周年@転載禁止
14/04/09 08:28:06.30 hXV+bKDc0
>>309
ネット通販さえしなけりゃいいの?
ちょうど増税への抗議で買い控えを始めたところだった。

311:名無しさん@13周年@転載禁止
14/04/09 08:40:05.06 iwT9XJr10
ubuntuアップデートかけた
openssl 1.0.1-4ubuntu5.12
最近SSH切ったからどうでもいいが

312:名無しさん@13周年@転載禁止
14/04/09 08:40:28.80 z5Rm/IK50
>>310
>バグを悪用すると、過去2年以内の

313:名無しさん@13周年@転載禁止
14/04/09 08:51:18.53 pGrxN8d20
無職でクレカ持ってない俺は勝組。ってことか!

314:名無しさん@13周年@転載禁止
14/04/09 08:55:11.99 uF/CKy8U0
うむ
数年前にWindows開発に的を絞った俺エライ

315:名無しさん@13周年@転載禁止
14/04/09 08:55:12.53 ix34uRBL0
>>65
違う。
今回のはそこらのPCで解析出来るんで問題になってる。
今回はその辺を示唆していたとあるハッカーさんから見れちゃったよーって一般に知られる前に情報提供を受けたので先んじて対応バージョン出せた。

Heartbleedのサイトあるんだけど、URL忘れちった。
ググれば見つかるかな?
heartbleed.comとか簡単なとこ。

ちなみに1.0.1gから対応ね。
さらに言うと記事元のハックの仕方が少し間違ってるから サイトで内容を確認した方がよろし。

316:名無しさん@13周年@転載禁止
14/04/09 09:04:31.96 eLLb+kY00
OpenSSLのライブラリの欠陥だろ?
OpenSSLのライブラリだけ更新したってだめじゃないのか。
ライブラリを使っている例えばApacheも作り直さないと。

317:名無しさん@13周年@転載禁止
14/04/09 09:12:49.18 J0DoHOpv0
webクライアントを他人任せにしているせい

318:名無しさん@13周年@転載禁止
14/04/09 09:23:21.83 yFEaC8bKi
>>25
さいこみュを操ってララァ攻撃可能。

319:名無しさん@13周年@転載禁止
14/04/09 09:36:16.42 yFYRFFAm0
メーラーとかが1.0.0とか0.9.8使ってたんだけど
今回の件はだいじょうぶでも、この機会に1.0.1gに更新しておいた方がいいの?

320:名無しさん@13周年@転載禁止
14/04/09 09:42:41.17 y6Ooq1EN0
例えばこれでカード悪用の被害等が出たらどうなるんだ?

321:名無しさん@13周年@転載禁止
14/04/09 10:03:59.72 vw7CpI8M0
What versions of the OpenSSL are affected?

Status of different versions:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable
Bug was introduced to OpenSSL in December 2011
and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012.
OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.

1.0.1f はやばい
1.0.1g はやばくない
1.0.0 はやばくない
0.9.8 はやばくない
このバグは2011/12に組み込まれ2012/3/14にリリースされ2014/4/7の1.0.1gで修正された

322:名無しさん@13周年@転載禁止
14/04/09 10:04:31.99 XWVpI0pb0
このスレ何で伸びないんだ?
色々とヤバいんだろ?

書かれてる事、俺にはさっぱりだがw

323:名無しさん@13周年@転載禁止
14/04/09 10:07:21.64 irY0g1+G0
俺のとこはアパッチはなくてISSだから心配ないな

324:名無しさん@13周年@転載禁止
14/04/09 10:43:15.07 B5xAMweS0
>>321
結局、見るべきはこの部分だね。

>OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable

OpenSSL 1.0.1 から 1.0.1f (を含む) には今回見つかった脆弱性がある。
それ以外のバージョンなら大丈夫。

自分のとこは大丈夫だわ。古いオンボロで助かったw

325:名無しさん@13周年@転載禁止
14/04/09 10:49:10.79 0YJcYy6y0
oh…トリアエーズ、ネットショッピングは止めて、クレカの請求に注意を払う
地方都市だとダメージ大きんだがwニッチな釣具とかリール(シマノ)の細かい交換パーツとか注文してたからさ

326:名無しさん@13周年@転載禁止
14/04/09 10:52:53.97 iZFpcx3s0
>>322
普通の住宅にたとえる。ちょっと極端にたとえているから、
現実に即さない面があるが、ご了承ください。

家の玄関に「OpenSSL」って会社が作った、電子ロック(暗証番号入力型の鍵)付きドアを備えた。
家の外側には、暗証番号は書いていないが、ドアの内側には暗証番号が印字されていた。(忘れないようにね!パスワードは長くて複雑だから)

ところが、製造過程のミスで、玄関ドアに非常に小さな穴が開いていた。
ドアから超小型カメラを突っ込むと、誰でも外からパスワードが確認できる状態であったことがやっとわかった。
さらに、この製造過程のミスは数年にわたり誰も気づかなかった。(買った人も気づいていない)
しかも、この電子ロックは超売れ筋商品で、ありとあらゆるご家庭に普及。

現実の小さな穴なら「木片でもつっこんどきゃええねん」って話だろうけど、
プログラム上の穴は「木片突っ込んで終わり!」程度に直せるものでもない。

泥棒さん入り放題状態=データ盗まれ放題!やばい!ってわけ。

327:名無しさん@13周年@転載禁止
14/04/09 10:59:41.51 vw7CpI8M0
>>1
>過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、
>システムメモリー上にある大量のデータを暴露することが可能だ。

あらゆるバージョン → 1.0.1fまでの1.0.1

サーバやルータのメモリーバッファを全て読み出す様な記述だけど
攻撃者がサーバの複合化キーを使って通信を複合できる
もしくは 過去に傍受し攻撃者側が保存している暗号化情報を複合できるということでは?

>>323
NASAにまかせとけば安心だよな

328:名無しさん@13周年@転載禁止
14/04/09 11:11:37.94 oxf2pNRT0
常にどこのサイトにアクセスしても通過してきたのはグーグル先生のお宅ですけど
先生がまとめてくださってるんでしょうなあ
そこに個人情報が暴露されてプライベート丸出しになってしまうわけだ

329:名無しさん@13周年@転載禁止
14/04/09 11:15:59.56 oxf2pNRT0
エロ同人DLサイト

330:名無しさん@13周年@転載禁止
14/04/09 11:18:37.10 mGcT/RE70
バグがハゲに見えた・・
疲れてるのかな

331:名無しさん@13周年@転載禁止
14/04/09 11:22:13.73 Eo9TPDkd0
ついにWindows Server で ASP.NET と SQL Server を使ってるヤシが勝ち組になるのか

332:名無しさん@13周年@転載禁止
14/04/09 11:28:18.95 8tNS7fml0
>>283
人力で選ぶわけじゃないからな。
どこぞのサーバーに集積されたデータをハッキングし、その暗号化データをコンピューターで解析する。
解読できたデータをかたっぱしから悪用する となると千、万の単位で悪用される可能性はある。

333:名無しさん@13周年@転載禁止
14/04/09 11:43:55.19 BJoQk50D0
>>330
重大なハゲなどあり得ない
ハゲはつねにありふれたハゲでしかない

334:名無しさん@13周年@転載禁止
14/04/09 11:46:35.03 5snfWgpE0
人体のセキュリティホールを突いた
ウィルスが原因のハゲかもしれんぞ

335:名無しさん@13周年@転載禁止
14/04/09 12:34:07.17 z0zU96j90
セキュ穴は、突破口でもある

分解禁止でおとなしく使ってる泥タブがあるんだが、あれもOpenSSLかな
外部への通信はhttpsばっかり 証明書受け入れない

336:名無しさん@13周年@転載禁止
14/04/09 12:50:31.17 48GxPTh+0
Bitcoin Coreバージョン0.9.1はバグフィックスバージョン1.0.1gにコアOpenSSLライブラリを更新するためにリリースされました。
バージョン0.9.1へのBitcoinコアセキュリティ更新プログラムは、24時間未満の発見の発表の後に来るHeartbleedバグ 。

具体的には、OpenSSLのHeartbleedバグが攻撃者に暗号化されたSSL / TSLセッションに関連部分にメモリの内容を明らかにすることができます。
Bitcoinの場合、これは秘密鍵を明らかにすることができることを意味する。
Specific Vulnerabilities特定の脆弱性
OpenSSLライブラリの脆弱なバージョンを使用するすべてのBitcoinコアGUIは、以下のエクスプロイトに対して脆弱である可能性があります。
ユーザがbitcoinをクリックする必要がありますリンクを攻撃者によって制御されるウェブサイトを介して支払いを開始するために、ユーザの秘密鍵のいずれかが、攻撃者に送信することができること(可能性は低いが)可能である。
rpcsslオプションを有効にすると、インターネットからのRPCの接続を許可しているbitcoindのユーザーは、ホワイトリスト(-allowip)IPアドレスからの攻撃に対して脆弱である。
このシナリオでは、攻撃者がrpcpassword、最後のRPC要求を発見することができる可能性がある。
繰り返しますが、開発者が秘密鍵を攻撃者に送信することができることが可能(ただし、可能性は低い)であると考えています。
あなたは、rpcsslオプションを使用するか、BitcoinコアのGUIウォレットを使用する場合は、すぐにOpenSSLのバージョン1.0.1gにリンクされてBitcoin Coreバージョン0.9.1にアップグレードする必要があります。

337:名無しさん@13周年@転載禁止
14/04/09 13:34:19.10 jQYUbWJi0
>>80
リン・ミンメイの現在の姿をご覧ください

URLリンク(i.imgur.com)

338:名無しさん@13周年@転載禁止
14/04/09 13:35:20.58 zEg2r0Dg0
新しいwindows買わせようってこと?

339:名無しさん@13周年@転載禁止
14/04/09 13:44:52.37 OgWH6Zgl0
OpenSSL使っていそうな貧乏な会社のサイトのネット通販は利用するなってこと?

amazonは(;・∀・)ダ、ダイジョウブ?

340:名無しさん@13周年@転載禁止
14/04/09 13:46:26.92 8tB8r2Ci0
よく解らんけど、つまりインターネットが壊れたが本当に起きたと

341:名無しさん@13周年@転載禁止
14/04/09 13:52:26.06 iwT9XJr10
windowsでいままでどれだけ被害を受けてきたかもわからない池沼がいるようだな

342:名無しさん@13周年@転載禁止
14/04/09 14:03:50.10 wJNGOWv10
>このバグは、OpenSSLに2年以上存在していたが(2011年12月以来、OpenSSL 1.0.1~1.0.1f)、今日初めて発見され公表された。

C:\Program Files\Trend Micro\AMSP\module\以下略
libeay32.dll (1.0.1.5)
ssleay32.dll (1.0.1.5)

トレンドマイクロが1.0.1.5ちゅうのを使ってるんだけど
これやばいの?
どうすればいいの?

343:名無しさん@13周年@転載禁止
14/04/09 14:13:19.65 xNQRnaOP0
>>342
URLリンク(indy.fulgan.com)

344:名無しさん@13周年@転載禁止
14/04/09 14:13:23.46 AhRVvlaC0
gに更新完了

345:名無しさん@13周年@転載禁止
14/04/09 14:39:15.89 ZpYWpmTa0
セキュリティベンダーはさっさとリコンパイルしてオートアップデート流してくれ

346:名無しさん@13周年@転載禁止
14/04/09 14:46:53.62 wJNGOWv10
>>343
アプデしろってことか
ありがとう

347:名無しさん@13周年@転載禁止
14/04/09 14:57:05.35 Uf0fiowv0
1.0.1.5は1.0.1eだね

348:名無しさん@13周年@転載禁止
14/04/09 15:02:02.49 hZtwfBWR0
全くわからん
サーバーやらを運営してない
普通にネットしてる奴はどうしようもないわけだな

349:名無しさん@13周年@転載禁止
14/04/09 15:05:59.84 cUVdk6jw0
元からOPENSSLなんて信用してないだろw

オープンソースは、何よりも商用と比べてプライオリテx管理も適当だし、

対応が遅いんだよ。

350:名無しさん@13周年@転載禁止
14/04/09 15:09:19.48 JxMEaBhh0
どういう現象で実感できるのか、さっぱりわからんな

351:名無しさん@13周年@転載禁止
14/04/09 15:14:53.78 APSUBI7J0
過去2年以内のデータが抜かれてるかもって....
今更ネットで買い物するのやめても意味ないやん (´Д` )

352:名無しさん@13周年@転載禁止
14/04/09 15:16:25.60 +IYVXwAu0
NSAが海底ケーブルから集めて、
ウンコクラッカーがコッソリ重要情報を抜く。
泣くぞ、終いにゃ。

353:名無しさん@13周年@転載禁止
14/04/09 15:32:52.17 kQByr0NB0
>>277
自己署名証明書の話なら……多分、どんな証明書を使ってるかは関係ない話だと思う。

>>351
2年以内のバージョンを使っている環境に影響がある、という話で、
2年前からの情報が残ってて盗み放題の状態になっているわけじゃない。
もちろん、2年前からこの脆弱性を把握している人がいたら、
その人は2年間から情報を盗めてる可能性があるけど。

354:名無しさん@13周年@転載禁止
14/04/09 15:34:28.66 obv9g6AV0
OpenSSLの更新の必要なソフトとして
TeraTermの名前を見たけど何で?

これってサーバ側の問題じゃないの?

355:名無しさん@13周年@転載禁止
14/04/09 15:37:11.74 f7yUAMtV0
インターネットに脆弱性と言えば、DNSキャッシュポイズニング以来かな。
あれで俺はWindowsを辞めました。
下手な知識でサービスを設定してて感染したんだけどね。止めると大量に通信しだすやつで。
KerioFireWallの通信先制限の扱いが、ドメインじゃなくてIPだったんで何とか乗っ取られたのを気づけた。

今回のはクライアントOSでも更新が必要なのかな。
openssl_1.0.1-4ubuntu5.12_i386.debって検索したら出てきたけど、サーバなんて立てる技術は俺に無いんだが。

曖昧な知識で推測すると、各ウェブサービスごとに、脆弱性が有るOpenSSLで暗号化されたデータが既に流出してて、かつOpenSSLの脆弱性へ攻撃を受けてて暗号鍵が漏れてたらOUTなの?
最新版のOpenSSLで暗号化され直した顧客情報は、漏れてなかったら無事か。
暗号化通信でログインするようなサイトには、対応宣言が出るまで行かないほうがいいかな。
3DSとかもショップに入るのは止めとくか。

356:名無しさん@13周年@転載禁止
14/04/09 15:54:58.71 f7yUAMtV0
これサーバ内の暗号化データだけじゃなく、暗号化通信のデータまで復号化されるってこと?
二年以内にOpenSSLを使ってたウェブサービスで。
それだとデータが流出してなけりゃいい話じゃなくなる。
今からでも、該当VerのOpenSSLでアカウントや個人情報を暗号化してるサイトにログインすべきでないな。
平文のインターネット通信は普通に盗聴できるらしいけど、暗号化された通信も暗号化されたままだが盗聴できるのだろう?
それが復号化される方法が有るとなれば、脆弱性持ちのウェブサービスは今クラッカーに通信を監視されて攻撃の標的になってるはず。

もしも仮にAmazonに穴が開いたままなら、ログインしてアカウント管理に入れば購入履歴が筒抜けになるんじゃ。
もっと前に知ってて秘密鍵を盗んでた連中が、既に脆弱な暗号化通信データを取得済みならどうしようもないが。
今からやれることは、暗号化通信のサイトが安全宣言するまで近づかないことかも。

357:名無しさん@13周年@転載禁止
14/04/09 16:17:46.28 vw7CpI8M0
amazonクラスだとsslアクセラレータと言ってsslの暗号化複合化のみ処理するサーバを用意してると思う
そーゆーところは使ってないんじゃないかなOpenSSL
専用サーバとかVPSとかをレンタルしてssl使ってるところが危ないと思う

※推測です

358:名無しさん@13周年@転載禁止
14/04/09 16:20:07.99 Eq+dAEST0
ふるえるぞハート!燃えつきるほどヒート!!
おおおおおっ 刻むぞ血液のビート!

359:名無しさん@13周年@転載禁止
14/04/09 16:24:20.93 Eq+dAEST0
ふるえるぞハート!燃えつきるほどヒート!!
おおおおおっ 刻むぞ血液のブリード!

360:名無しさん@13周年@転載禁止
14/04/09 16:28:53.44 HKVNcQwr0
>>131
マジッスカ(;゚д゚)
CPANくらいしかできねえ低能はどうすればいいんだ・・

361:名無しさん@13周年@転載禁止
14/04/09 16:31:40.51 k34HM/FP0
SSLアクセラレータの更新が面倒
まあ、XeonにAES-NI命令が出来てからは、
わざわざSSLアクセラレータ使うことも少なくなったが

362:名無しさん@13周年@転載禁止
14/04/09 16:42:49.13 f7yUAMtV0
暗号化通信データを普段から集めとけば、脆弱性が見つかったときに復号できるってことか。
2年前から全部集めてたのいそうだ。
破られない暗号化は無い前提で、暗号化して流す情報も考えないとな。
嫌儲でも話題になってたが、Torも対応待ちで危ないんだっけ。

暗号通信履歴が有ったら、後は気づかれずに脆弱性持ちのOpenSSL使用のウェブサービスを攻撃して、暗号鍵を盗むだけか。
今回の対応として、OpnSSLなんて安そうなもの使ってたサイトやプログラムは、発表からどれだけ早く穴を塞げたかで信用の落ち具合が変わるだろう。
放置期間が長ければそれだけ、ログにも残らない攻撃を受けて秘密鍵が盗まれた確率が高くなるはずだから。

Amazonは大丈夫だとして任天堂は大丈夫かな?
WiiUってどこの時点でネットワークIDを送信して認証してるのだろう。

363:名無しさん@13周年@転載禁止
14/04/09 16:47:10.21 zz+O9jFS0
>>360
大抵のディストリビューションでパッチあたったupdateでてるから、
OpenSSLのパッケージupdateしてhttpdとかMTAとか
ライブラリ利用してる奴らを再起動するだけ。

364:名無しさん@13周年@転載禁止
14/04/09 17:16:21.69 fIzyjA000
WEB閲覧くらいしかしてないWinPCでも影響あるの?

365:名無しさん@13周年@転載禁止
14/04/09 17:26:59.04 ZpYWpmTa0
どちらかというとサービスを提供する事業者だな
特定の個人狙ってくる可能性は低いけど、サービスは狙われるわけだから

366:名無しさん@13周年@転載禁止
14/04/09 17:34:02.71 EBcD+fKW0
攻撃されるのはサーバーだけど
最終的に盗まれるのはあなたの個人情報かもしれません。

パターンA

①脆弱性のあるサーバーを攻撃し、会員のID、パスワード、個人情報などを盗む。

パターンB

①脆弱性のあるサーバーを攻撃し、SSLの秘密鍵を盗む。
②盗んだ秘密鍵を使って https 通信を盗聴する。
③ https だからセキュアだと思って安心してたら個人情報が筒抜けだったでござる。

367:名無しさん@13周年@転載禁止
14/04/09 17:52:42.06 hj8ap8KL0
アパッチて50%程度なのか
もっと多いもんかと

368:名無しさん@13周年@転載禁止
14/04/09 18:15:13.12 V6qDqyYQ0
意外にIIS頑張ってるから

369:名無しさん@13周年@転載禁止
14/04/09 18:16:03.93 ktV0aJOF0
これって要するに過去の通信丸々記録されてない限り大丈夫?
もちろん、今からの通信は対策済みの必要があるけど。

370:名無しさん@13周年@転載禁止
14/04/09 18:50:28.41 5eAhDFuP0
>>369
通信をのぞき見るんじゃ無くて
サーバのメモリを直接読み取れる

371:名無しさん@13周年@転載禁止
14/04/09 19:20:44.80 ktV0aJOF0
>>370
メモリ………RAMですよね?

372:名無しさん@13周年@転載禁止
14/04/09 20:02:10.65 vzfBy3sx0
curlでクロールしてくるのがopensslのバージョン晒してるんだけど
何か期待してるのかな

373:名無しさん@13周年@転載禁止
14/04/09 20:48:42.28 DdBtqrkF0
まあ、つまり得体の知れない電子店舗に情報を
残すなって事だな。
楽天市場とかヤバそうw

374:名無しさん@13周年@転載禁止
14/04/09 20:54:49.82 vfYnXaKV0
そんなにビビることはない
例えるなら部屋の鍵をコピーされる脆弱性が見つかったってこと
脆弱性をほっとけば鍵がコピーされちゃうから対応しなさいってこと
鍵がコピーできるなら鍵の意味が無いからそういう意味でかなりヤバイ
通信を傍受されたらその通信内容は筒抜けだけど、サーバ上のデータが漏洩するような脆弱性じゃないよね

375:名無しさん@13周年@転載禁止
14/04/09 20:56:07.97 CIP98pGL0
>>374
やばいのはサーバー側じゃね?

376:名無しさん@13周年@転載禁止
14/04/09 21:12:18.56 IZErtrtY0
>>375
サーバだけど通信傍受するのは今回の脆弱性とはまた別の問題だよね
傍受されても暗号化されてるよってのがSSLが提供するセキュリティのひとつだから

377:名無しさん@13周年@転載禁止
14/04/09 21:20:50.93 xNQRnaOP0
いい人が初めて発見したのであって悪い人はもう知ってたかも
すでにキーが盗まれてる可能性を考えると
本当はSSLだけじゃなく鍵もつくりなおさないとだめなのでは
そうなるとどれだけの費用になるだろうか

378:名無しさん@13周年@転載禁止
14/04/09 21:25:10.30 vw7CpI8M0
opensslがApacheのモジュールとして動いてるときApacheがアクセスできるディレクトリにはアクセスできそうだけど
ディレクトリトラバーサルできるってことなのかな?
物理メモリ全部見れたらサーバごと乗っ取れるしSELinuxとか乗り越えられるんだったらバグといよりウィルス

379:名無しさん@13周年@転載禁止
14/04/09 21:32:36.39 VOCIcuRf0
>>377
だいたい無料で再発行してくれてるよ

今日1日keyとcsr作るお仕事だったよ、、、、、、

380:名無しさん@13周年@転載禁止
14/04/09 21:53:46.90 ZpYWpmTa0
再発行は無料としても、
サービス元は相応の人件費掛かってるからな
対策費用も膨大か

381:名無しさん@13周年@転載禁止
14/04/09 22:17:11.75 coOwL7Gh0
>>378
秘密鍵盗まれて偽サーバ建てられるのが一番厄介じゃないか。

382:名無しさん@13周年@転載禁止
14/04/09 22:44:55.94 NKWeSp0U0
>>379
おまおれ

383:名無しさん@13周年@転載禁止
14/04/10 00:09:06.84 8qFBKecH0
午前中はこれの対応で丸々潰れた

384:362@転載禁止
14/04/10 00:21:07.32 e0ehBVfw0
>しどこかのアタッカーが、いずれ解読するつもりでサーバーから山ほどの暗号化データを取り出して持っていたら?
>それらを解読するためのキーを手に入れているかもしれない(アタックしたサーバーの構成による。例えば、Perfect Forward Secrecyを使って
>設定されているかどうか)。

ちょっとだけ調べたが、PFSを使ってるGmailやTwitterは、「過去を遡る暗号解読(retrospective decryption)」されないそうだ。
通信ごとに違う鍵を使うんだってさ。
同一サービスの過去の暗号化通信って、この脆弱性以外でも盗られてたというか、普通に取れたりはしないか?

SSLでもOpenでないとかPFSされてるとか、証明書見たら分かるようにブラウザを作ってほしい。
FireFoxならそんなアドオンも出るかな。

とりあえずはこれで間に合わせるか。
Test your server for Heartbleed (CVE-2014-0160)
URLリンク(filippo.io)

385:名無しさん@13周年@転載禁止
14/04/10 00:21:48.30 r3kC4R2T0
+じゃapacheを知らない子が9割ほどなのかね

386:名無しさん@13周年@転載禁止
14/04/10 00:24:33.12 B82liSG30
>>372
それ公開してよ

387:名無しさん@13周年@転載禁止
14/04/10 00:31:41.50 nFvHe30bO
2ちゃんもさっき対策したみたいだな
●と浪人がログイン出来なくなった原因がそれだった

388:名無しさん@13周年@転載禁止
14/04/10 00:39:03.34 8qFBKecH0
まあサーバサイドがなんぼ対応しようが
クライアントサイドが証明書を再取得しない限り
リスクは消えないんだよな

389:名無しさん@13周年@転載禁止
14/04/10 00:46:05.62 nFvHe30bO
>>388
いままでならそんな理由つけてで放置しかねないから 即日対応って事だけで驚いたわ

390:名無しさん@13周年@転載禁止
14/04/10 00:50:02.00 8qFBKecH0
>>389
これに関しちゃ信用問題に発展しかねないし
即日対応せざる得ないわな

391:名無しさん@13周年@転載禁止
14/04/10 01:04:44.26 H1pBw0pT0
たぶん、リリース時に意図して仕込んであったと見るべきだな。

392:名無しさん@13周年@転載禁止
14/04/10 01:06:15.53 HCNR1TwH0
んで国内のサービスだとどこがやばいバージョン導入してんの?

393:名無しさん@13周年@転載禁止
14/04/10 01:09:57.01 8qFBKecH0
>>392
とりあえずネットバンキングやってるとこで電話来たとこはヤバめ
東京UFGとか

394:名無しさん@13周年@転載禁止
14/04/10 02:52:49.75 HCNR1TwH0
>>393
東京UFGとかいう銀行はしらんけど
どっからも電話もメールも来てないから安心して寝ていいってことね

395:名無しさん@13周年@転載禁止
14/04/10 02:58:29.23 9astF3UN0
>>167
そんなことできたら今頃ロシアも中国もフルボッコだろ

396:名無しさん@13周年@転載禁止
14/04/10 06:20:00.89 je7FEFsB0
箱入りのお堅いお嬢様かと思ったらガバガバのヤリマンだったて事か

397:名無しさん@13周年@転載禁止
14/04/10 12:43:58.55 c+2htbJY0
shopserveがメモリ見れるな・・・

398:名無しさん@13周年@転載禁止
14/04/10 12:49:56.69 kG5V1KZE0
また代引き最強が証明されたか

399:名無しさん@13周年@転載禁止
14/04/10 13:10:54.57 N2vaZ9yS0
>>337
取り返しの付かない状態だって事!?


つか、毎度来てる
このメッセージにはご注意ください。個人情報を騙し取るのに使用されていたのと同じ、不審なリンクが含まれています。
信頼できる送信者でない限り、リンクをクリックしたり、個人情報を返信したりしないでください。 詳細

お客様
株式会社营团社サービスシステムをご利用いただき、ありがとうございます。
システムはお客様のアカウントが異常にログインされたことを感知しました。
下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願いします。

これを思い出したwww

400:名無しさん@13周年@転載禁止
14/04/10 13:14:22.12 N2vaZ9yS0
>>398
つ 購入履歴情報

401:名無しさん@13周年@転載禁止
14/04/10 13:17:56.71 N2vaZ9yS0
おっ、地震w

402:名無しさん@13周年@転載禁止
14/04/10 13:41:00.78 H1pBw0pT0
ハートビートにアタックかけて、ハートアタックか。
誰かぁ、SSLちゃんが鼓動をしていないの。

403:名無しさん@13周年@転載禁止
14/04/10 13:42:22.16 uN2f/mw00
こういう公表は既にパッチ当ててからってのが通常

404:名無しさん@13周年@転載禁止
14/04/10 13:48:09.21 bUI6es5D0
>>401
千葉?

405:名無しさん@13周年@転載禁止
14/04/10 13:55:02.68 fSDIBgVG0
SSL証明書発行業者各社はちゃんと脆弱性と再発行喚起のアナウンス連絡したのかな?
ホームページでまったく触れられてない業者も多いのだけど…

406:名無しさん@13周年@転載禁止
14/04/10 14:19:50.97 H1pBw0pT0
通信プログラムについては、
機械の命令語の部分は、ローダーによってメモリ上に配置格納するときに
命令キャッシュのラインのサイズ、たとえばそれが32バイトだったら
32バイト単位でもってランダムに設定された置換表によって置き換えて
格納しておき、CPUに持ち込むときに始めて逆の変換によって本来の
命令語のパターンに戻してから実行する機構を設ければ、バッファー
オーバーフローによってメモリ上の命令ではないデーターであるかの
ように命令語のデーターを上書きできるとしても、置換表がどうなって
いるのかを伺い知らなければ期待したとおりの動作をさせることは
できない。これにより、侵入者の思惑をくじき、あるいはある程度の率で
そのようなアタックが試みられていることを不正命令による異常終了の
発生により検知することが期待できる。

407:名無しさん@13周年@転載禁止
14/04/10 14:45:06.77 g294on1r0
>>405
まだ事態と影響の範囲の把握、内部で対応マニュアルできてないだろうから
来週の月曜くらいから対応が本格化するんじゃないか

408:名無しさん@13周年@転載禁止
14/04/10 15:08:45.77 oqSk/LWl0
>>406
なんかよくわからんが、書き換え可能な領域に実行可フラグを立てなければいいんじゃないの。
スタック上で状態やリターンアドレスなんかを操作する手口については多分 >>406 で言おうとしてることは無意味そうだし、やっぱよくわからん。

409:名無しさん@13周年@転載禁止
14/04/10 15:50:57.11 5yj6L+j00
ゲロヤバレベルだからデリケートな情報を扱ってるところはすぐアナウンスがあると思いきや全然ないのな
さっきアップデートしたから大丈夫とか言い出さないか不安

410:名無しさん@13周年@転載禁止
14/04/10 16:30:58.26 e0ehBVfw0
>>384
もっといいサイトがあった。
Qualys SSL Labs - Projects / SSL Server Test
URLリンク(www.ssllabs.com)
>The server does not support Forward Secrecy with the reference browsers.
とか、ドメインを入れたら(P)FS使用の有無まで出てくる。

ここで安全性が確認されたサイトなら、今のHTTPSを信用してログインしても大丈夫かもな。
今は対処したけど前に該当してたってのなら、アカウントのパスワード変更をしたほうがいいかも。
今の暗号化通信は安全になってても、前のは漏れてた可能性が有るから。

411:名無しさん@13周年@転載禁止
14/04/10 17:19:19.06 c+2htbJY0
>>410
レーティングはAが1番良いんだよね
気になるサイト見たらFばっかりだった

412:名無しさん@13周年@転載禁止
14/04/10 21:50:23.38 IrcXfAjK0
amazonはBか

413:名無しさん@13周年@転載禁止
14/04/10 22:52:56.90 2+WBe+Uu0
更新は簡単だが証明書の再発行が面倒だな

414:名無しさん@13周年@転載禁止
14/04/10 23:28:46.74 UcExUBQF0
>>410
失礼ですがあなたはPFSとは何かを(人に説明できるレベルで)理解した上で書いていますか?

415:名無しさん@13周年@転載禁止
14/04/10 23:29:30.84 4lIGD5dn0
Dropboxは?

416:名無しさん@13周年@転載禁止
14/04/10 23:30:22.91 PWPBhH/30
>>35
とりあえずネットで買い物したことがあるカードを
使用停止にすればいいの?

417:名無しさん@13周年@転載禁止
14/04/10 23:41:19.54 4lIGD5dn0
dmm.co.jpが「F」なのが怖すぎるわ

418:名無しさん@13周年@転載禁止
14/04/11 00:38:26.71 RYh6BvC00
>>85

419:名無しさん@13周年@転載禁止
14/04/11 04:46:12.42 rR8S5BGu0
>>410
今回のHeartbleed attackにはnot vulnerableでも、
MITM attacksにはダメでFになるサイトがあるぞ

420:名無しさん@13周年@転載禁止
14/04/11 06:33:11.47 LdEWyCww0
しかし、NHKの定時のニュースで数日間はトップ扱いされるべき緊急警告事項なのに
マスコミも主要サイトも、未だな~んにも無かったような我が日本国w

421:名無しさん@13周年@転載禁止
14/04/11 06:45:07.57 NVFprB+Z0
>>420
この国のITに関する危機意識は更新国レベルだからな

422:名無しさん@13周年@転載禁止
14/04/11 06:52:27.29 sDYog1Fm0
これ、ヤマハルータのストール、再起動のやつと関連ある?

423:名無しさん@13周年@転載禁止
14/04/11 06:53:10.28 c3BwlI5c0
yodobashi.comも「F」かよ、ポイント早めに使い切って脱会
した方がいいかな?

424:名無しさん@13周年@転載禁止
14/04/11 06:59:00.48 LdEWyCww0
米国紙ではヘッドライン扱いの大見出しw

今すぐパスワード変更を―セキュリティー脅かす「Heartbleed」(ウォール・ストリート・ジャーナル)
URLリンク(jp.wsj.com)

425:名無しさん@13周年@転載禁止
14/04/11 07:11:07.16 G1Y1jpT80
>>421
まぁ、おまえの日本語もそのレベルだしな。

426:名無しさん@13周年@転載禁止
14/04/11 08:06:22.69 waIOsnd70
よくわかんないけどパスワード変えればいいの

427:名無しさん@13周年@転載禁止
14/04/11 08:13:57.16 wF6rdqcS0
ニュースになるころには大半が籠絡済みなんだろうな

428:名無しさん@13周年@転載禁止
14/04/11 08:14:04.29 XFz0StsQ0
悪い人は、こっそりとサーバーのデータを盗む。
良い人は、堂々とさーばーのデータを盗んでみせる。

悪い人は、サーバーの善し悪しをよく知っている。
良い人は、サーバーの利点欠点をよく知っている。

429:名無しさん@13周年@転載禁止
14/04/11 08:18:53.91 KOdeCnKlO
>>420
著名なアナウンサーがパワーポイントを知らないんだから
事の重大さがわからないんだよ

430:名無しさん@13周年@転載禁止
14/04/11 08:21:45.19 fS11PQari
>>424
今変更しても、opensslのうp終わってなかったら意味無しなわけですがそれは

431:名無しさん@13周年@転載禁止
14/04/11 08:23:19.23 dEYlKvSaO
伝書鳩の時代が来るな
そして元悪質ハッカーたちは鷹や鷲を飼う

432:名無しさん@13周年@転載禁止
14/04/11 08:24:08.92 b29W3sVs0
ネットに個人情報ぶち込まないおいらはきょうもXP

433:名無しさん@13周年@転載禁止
14/04/11 08:24:31.82 pV2pvmgNO
鯖は、早急に修正
ユーザーは、事前にダウンロードした人間が居ないことを神に祈る

434:名無しさん@13周年@転載禁止
14/04/11 08:28:09.94 T9RWNv+o0
SSLに穴なんて、本末転倒。
何のためのものなのかね。

435:名無しさん@13周年@転載禁止
14/04/11 08:33:11.05 EtRMTaNm0
>>431 不登校児って、そんあこと考えて一日がおわるんだな がっこいけ

436:名無しさん@13周年@転載禁止
14/04/11 08:35:29.92 jOqBX0Aj0
>>420
XPのサポート期限切れ報道で、仮想化すれば大丈夫と言ったNHK様だからな。

437:名無しさん@13周年@転載禁止
14/04/11 09:01:52.04 sDYog1Fm0
>>436
煽ったせいで客が過剰反応しててLAN引き直させたりよけいに怖いんだが。

インターネットにつながないでLANだけでUSBメモリで運用するとか言い出したけど、
ウィルス対策は切れたままでいいとか言い出すし…

438:名無しさん@13周年@転載禁止
14/04/11 11:04:22.32 s7/g79l70
>>424
それ罠だよ
サーバ側の対処が終わってない内にパスワード変更なんかしたらそれを盗まれて乗っ取られる
対処が終わったって発表があるまでパスワード変更どころかログインもしちゃダメ

439:名無しさん@13周年@転載禁止
14/04/11 11:08:39.31 PTRTXnn00
いいこと考えた、
CloseSSL を開発する!

440:名無しさん@13周年@転載禁止
14/04/11 11:35:35.71 7HMeMV6Q0
Google、Dropbox、Facebookはセキュリティコード送信でのログインに設定したからいいのかな?
Yahooはワンタイムパスワードにした。

銀行やカード会社系が、対処終わっているのか不明で心配だ。
今ログインしてパスワード変えると、逆に盗まれる可能性があるんでしょ?

441:名無しさん@13周年@転載禁止
14/04/11 11:39:38.40 wF6rdqcS0
ITは破滅の淵を綱渡りする業界のように思えてならない

442:名無しさん@13周年@転載禁止
14/04/11 11:41:29.27 ucnYqfWF0
>>437
がんばって説得
USBからウィルス感染したらLANを通じて全部のPCに移るよ、と
学級閉鎖でも例に出してがんばるんだ
XPPCはLANに繋いでたらインフルエンザ感染で脳症になって
死亡する確率の高い高齢者PCと同じなんだとか
XPは人間だと100才超で7は20才の若者とかいって免疫力の違いを説明しろ
ウイルス対策切れたままは老人がインフル流行の渦中に行くようなもんだと

>>436
仮想化かあ…すばらしいな(棒)

今回の件はできれば静かに対策終わらせてからニュースにしてほしい

443:名無しさん@13周年@転載禁止
14/04/11 11:46:20.72 r7oAOdBw0
>>423
Heartbleedは大丈夫って出るよ
URLリンク(filippo.io)

444:名無しさん@13周年@転載禁止
14/04/11 11:52:17.62 ceWchQUe0
FreeBSDは

freebsd-update fetch
freebsd-update install

の2つのコマンドでOKでセキュリティパッチがあたった
リブートも必要無しで5分ぐらい

445:名無しさん@13周年@転載禁止
14/04/11 12:01:38.96 EqqV7dYn0
国内だとプライベートサーバとかレンタルサーバが問題の中心かな
国内大手は変なところでガラパゴスだったのが幸いして影響がほとんどなさそう

446:名無しさん@13周年@転載禁止
14/04/11 13:00:31.48 sDYog1Fm0
>>442
おおサンクス
今回、なまじ知ってる情シス兼総務部長みたいなとこが一番騒いでるから、そういう話の方が理解されやすいから助かるわ

447:名無しさん@13周年@転載禁止
14/04/11 13:27:09.23 XkAtkRKN0
>>377
NSA「何のことやらさっぱり・・・」

448:名無しさん@13周年@転載禁止
14/04/11 16:56:27.80 vuydYWr70
>>414
ごめんなさい、素人セキュリティです。
ちょっとググって、同じ暗号化鍵を使い続けないことで、過去に遡る情報漏洩を避ける物と解釈しましたが間違いですか?
開発者どころか管理者でもない、一ユーザークライアントとしての安全性追求だけを自己流でやってきたもので。

>>419
yodobashi.comもそうなのかな。
>This server is vulnerable to MITM attacks because it supports insecure renegotiation. Grade set to F.
>Insecure Client-Initiated Renegotiation Supported INSECURE (more info)
って出るが、中間者攻撃の脆弱性の詳細はよく分からない。
管理者にメールすれば直してくれるのかな。

Heartbleed attackでアウトなのは、inter7.jpくらいか。
あそこは元々オレオレ証明書だし、既に漏れてたけど漏れっぱなしなんだろう。

449:名無しさん@13周年@転載禁止
14/04/11 17:00:40.29 jIHpsOdL0
PFSとやらがワンタイムパスワード的に公開鍵/秘密鍵ペアを生成してやってるなら過去の物に関しては安全だろう
もとより使い捨てだけど、セッション鍵だけ使い捨てるんじゃ今回のようなケースに効果はないからね

450:448@転載禁止
14/04/11 17:15:29.44 vuydYWr70
>>449
もうちょっとだけ調べたけど、暗号化通信の前提になる鍵交換を毎回やる感じなのかな?
暗号化通信のセッションごとに異なる暗号鍵を使うのは元からか。

スノーデン絡みで対NSAの政治活動がどうとか出てきた。
TorがPFSに対応してなかったりすると、過去の通信の発信元の匿名性が危なかったりするのかな?

技術者としてでなく利用者としてのいい加減な知識だから、あんまり深入りしないほうが長生きできるかも。
親戚づきあいがなくて子供がいないし、子孫まで遺る汚名や迫害は気にしなくていい立場だけど。
自分が死んでからなら、実名と書き込み(購入検索閲覧)履歴が紐つけられて公開されてもいい程度に、それが恥さらし程度で済むようには行動したい。

451:名無しさん@13周年@転載禁止
14/04/11 17:17:41.54 E0ja2Yok0
>>420
たしかに普段ネット関係は不当にネガキャンするくせに

本当に大きな不祥事あったらスルーなんだなw

452:名無しさん@13周年@転載禁止
14/04/11 17:17:47.02 mO8/5COz0
>>65
政府は物凄い数のPCを並列処理させてると思うんだ
何年もかかるかどうか。

453:名無しさん@13周年@転載禁止
14/04/11 17:35:15.47 RrW8s+BK0
アマゾンと楽天は入っていないようだな
ヤフオク使ってるやつザマァwww
yahoo.com
imgur.com
flickr.com
redtube.com
kickass.to
okcupid.com
steamcommunity.com
hidemyass.com(←ここはユーザーの個人情報をvpn.hidemyass.comに保存してるので大丈夫だそうです。直接米ギズモードに連絡がありました)
wettransfer.com
usmagazine.com
500px.com

454:名無しさん@13周年@転載禁止
14/04/11 17:36:21.16 gvH/fhF40
>>26
MicrosoftもOpenSSL使っていたけどなw

455:名無しさん@13周年@転載禁止
14/04/11 17:42:09.81 jIHpsOdL0
>>450
どうも鍵交換にRSAの公開鍵で暗号化した秘密鍵(の元)を送らせる方法ではなくて
Diffie-Hellman鍵交換という方法を使うものを言うらしいね

456:名無しさん@13周年@転載禁止
14/04/11 17:49:48.03 nNGO5FHO0
出来る人はネットサービス会社に対応の確認してほしい
自分は今忙しくてできないんですまん
家族が地元のネットバンク利用してるんだがうまく説明できないらしいし
ちょっとしたらそれは確認してみる

457:名無しさん@13周年@転載禁止
14/04/11 17:55:23.84 xm6bQqfR0
>>339
Amazonは大丈夫だな。

458:名無しさん@13周年@転載禁止
14/04/11 18:02:27.27 nNGO5FHO0
これプロバイダも影響ある?
申し込みとかSSLだよね

459:名無しさん@13周年@転載禁止
14/04/11 18:09:35.69 Fo5UbNMF0
つ)
URLリンク(www.netagent.co.jp)

460:名無しさん@13周年@転載禁止
14/04/11 18:13:39.89 5GadQDtp0
NHKトップ

461:名無しさん@13周年@転載禁止
14/04/11 18:30:14.35 kKG0U9W70
www.ssllabs.comでチェックしたら
onedrive.live.comはFランクのも使ってる
Heartbleedはクリアしてるようだけど

462:名無しさん@13周年@転載禁止
14/04/11 18:34:19.33 nNGO5FHO0
lastpass.com/heartbleed/
ここから調べるとほとんどPossibly Unsafeでパス変更も待てって出るけど

sslcheck.globalsign.com/ja/
こっちだと逆にほとんど大丈夫そうだが実際どうなんだろ
しかし中間者攻撃に弱いとこばっかりで別の心配が出る

filippo.io/Heartbleed/ は反応してくれなかった

463:名無しさん@13周年@転載禁止
14/04/11 18:37:00.26 kKG0U9W70
onedriveは使ってないんだけど
3ヶ所使ってたアップローダーで、1ヶ所引っかかたんで
そこはファイル削除した
速度早くて便利だったんけどさ

464:名無しさん@13周年@転載禁止
14/04/11 18:44:13.48 hDIvIOvg0
ファイルなんか削除しに行くなよw
そんなところは放置して同じパスワード使ってるところのパスワード変えないと。
クレジットカード登録してるところがやばければ削除しに行くのは意味があると思うが。
まあやばいファイルも削除はした方がいいが。

465:名無しさん@13周年@転載禁止
14/04/11 20:14:09.31 9QuHo26S0
3回、勝手に請求されていたけど、これだったか。

466:名無しさん@13周年@転載禁止
14/04/11 20:38:15.88 v6PkU+TI0
チェック方法まとめ:OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 - @IT
URLリンク(www.atmarkit.co.jp)

467:名無しさん@13周年@転載禁止
14/04/11 20:38:47.80 v6PkU+TI0
OpenSSLの「Heartbleed」脆弱性に便乗攻撃、陰謀説や政府機関利用説も - ITmedia エンタープライズ
URLリンク(www.itmedia.co.jp)

468:名無しさん@13周年@転載禁止
14/04/11 21:38:16.65 YaglTPYB0
うんもーなんなの!ageとくわ

469:名無しさん@13周年@転載禁止
14/04/11 21:43:16.80 SUuiF9dC0
>>446
参考になるなら良かった
他人事じゃないからなー
喩え話はその人が興味ある分野か
一般的によく知られてることでいくといいよ
騒いでくれてるのは無関心より全然良い
何かあったときの対策とか被るのはメンテ側になるから
しっかり説得せんと

>>467
何で心電図取る必要何てあるんだってことだからな
陰謀説だって出るだろう

470:名無しさん@13周年@転載禁止
14/04/11 23:08:59.35 /FtWIASi0
>>467
ユーザー側に出来ることが無いって記事読んだけど大事になってるんだね
某所でチラッとニュース欄の記事を読んで騒動を知ったよ

471:名無しさん@13周年@転載禁止
14/04/12 00:24:48.05 8KauJMnP0
???「それ見たことか、サーバーで動かすソフトってのは十分に枯れた古いバージョンのままにしておくのがいいんだよ」

472:名無しさん@13周年@転載禁止
14/04/12 00:27:54.44 Zv6gvnzd0
>>470
PC内を検索して、該当するverのssleay32.dllとlibeay32.dllがあったら
念のために上書きしておいたほうがいいよ
ウイルスバスターや一部の専用ブラウザで使われてる

473:名無しさん@13周年@転載禁止
14/04/12 00:28:25.42 xR8GeCiU0
鈴木大輔さんこんばんは。

474:名無しさん@13周年@転載禁止
14/04/12 02:09:28.37 4idOiaIS0
2年間放置
googleが発見
->googleによる個人情報漁り完了済み

475:名無しさん@13周年@転載禁止
14/04/12 02:22:08.33 RpDP1hU40
>>474
なーるほど

476:名無しさん@13周年@転載禁止
14/04/12 02:47:39.00 8/pb6csj0
googleは生データの方抑えてるから、
こんな暗号化されたものしか得られない不確かな方法に頼る必要ない。

477:名無しさん@13周年@転載禁止
14/04/12 03:23:43.33 6GtMfClw0
例えば

googlebot がクロールの振りをしてサイトの秘密鍵を盗みまくる

google DNS (8.8.8.8 と 8.8.4.4) でDNS詐称して偽サイトに誘導

完全犯罪成立ですな

478:名無しさん@13周年@転載禁止
14/04/12 05:51:05.99 hHG4IQnD0
ヤフオク行ったーーーーーーーーーーーーーーーーーーーーー(泣)

479:名無しさん@13周年@転載禁止
14/04/12 05:55:31.28 Qc9S3isU0
openssl 1.0.1e-fipsってどうなのよ?

480:名無しさん@13周年@転載禁止
14/04/12 05:57:25.55 6ONJLzl90
open何とかってのは、実は一番危険。誰が何を仕込んだかわからん。

481:名無しさん@13周年@転載禁止
14/04/12 05:59:25.12 Qc9S3isU0
これってダウングレードしろってこと?

482:名無しさん@13周年@転載禁止
14/04/12 05:59:56.85 6ONJLzl90
ネット決済はやめて現金商売に戻すしかないのか。

483:名無しさん@13周年@転載禁止
14/04/12 06:25:53.74 Qc9S3isU0
apt-getやyumでアップデートしたけど1.0.1e-5が1.0.1e-15になっただけだぞ?
rpmとかで落としてこないとだめなの?

484:名無しさん@13周年@転載禁止
14/04/12 06:41:38.78 6GjDaUE10
勘違いしているアホのために

・一般的なインターネット通信は、そもそもSSLで暗号化をしていない
 (例えば2chとの送受信も暗号化していない)
・銀行webなどクレカ情報などを入力するwebサイトはSSLで暗号化している

485:名無しさん@13周年@転載禁止
14/04/12 08:13:02.10 zYSgVCqp0
このスレが伸びないのは訳分からんていう俺みたいな奴ばっかだからだろう
何も知らないから煽ることも嘆くことも出来ない

486:名無しさん@13周年@転載禁止
14/04/12 08:26:04.10 n2EtHQcq0
>>460
警察庁の注意喚起があったからかな。
URLリンク(www.npa.go.jp)
の作成時刻が17時過ぎになっているようだし。
警察の文書は攻撃に対しての注意喚起だけど、本来なら危険な
大穴が…という時点で、海外メディアの後追いででも報じていて
当然だろうけど。CNN、ロイター、AFP等々、ネット関係のメディア
よりははるかに遅いにしても、すでに大きく報じていたわけだから。

487:名無しさん@13周年@転載禁止
14/04/12 08:27:15.32 1mArWHFf0
ログインしないほうがいいって言うけど
登録してるクレカ削除しなくて大丈夫なのかな?

488:名無しさん@13周年@転載禁止
14/04/12 09:32:38.63 FVWl/NJi0
>>487
すでに収集されてれば今から消しても意味はない。
まだ収集されてないならサーバ内にあるだけだからそっとしとけば誰にも見られない。
ログインすればその通信を傍受・解読されて盗まれる可能性がある。
と言っても通信を傍受されてることなんてほとんど無いから、お前が通信を控えること自体はまず意味がない。
なので、さっさとログインして消しておく方が無難だとは思う。
まだ盗まれてなくてもこれから管理者パスワードとか盗まれないとも限らないし。

まあ、めんどくさいんでおれはそんなことしないし、普通に買い物もしちゃうけど。

489:名無しさん@13周年@転載禁止
14/04/12 09:37:25.57 UxyYAghP0
>>366
その攻撃の仕方がわからんのだが
>>483
OSとバージョンによる
クグればまとめサイトがあるよ

490:名無しさん@13周年@転載禁止
14/04/12 09:50:58.31 x/5j3mwM0
昨日自分が使ってるサイトについて調べてたけど
あんまり大々的にニュースになってない割にどこも対応早いな
取りあえず金融系とSNSについてはパスワード変更しておいた

491:名無しさん@13周年@転載禁止
14/04/12 10:42:17.20 6Or/V6Xf0
M$とかってのは、実は一番危険。誰が何を仕込んだかわからん。

492:名無しさん@13周年@転載禁止
14/04/12 10:49:43.88 6Or/V6Xf0
OpenBSD, OpenSSLと訣別
tyamagch曰く、"daemonnewsの記事から OpenBSD Projectが、SUNから暗号化技術の寄付を受けたOpenSSLと訣別するらしい。Theo de Raadt氏は「Sunから寄付を受けたOpenSSLはもはや『フリーなソフト』とは言えない」と述べている。
IPFilterに対するpfなどの例からして、同じ機能のソフトを組み込むのだろうが、そのエネルギーには脱帽するしかない。 (daemonnewsには新しいソフトの名前は「OpenOpenSSL」?、「TheoSSL」? 「FreeSSL」というちゃちゃがあった。)"

493:名無しさん@13周年@転載禁止
14/04/12 13:40:31.63 PIGzyXMY0
おおごとなのだけしか分からないage

494:名無しさん@13周年@転載禁止
14/04/12 13:42:13.95 mzIbzOS/0
誰か馬鹿にも解る様に説明してくれよ
小学生だってネット使う時代なんだぜage

495:名無しさん@13周年@転載禁止
14/04/12 13:43:20.11 pc9nQ+H70
で?結局どうすればいいの?
(´・ω・`)

496:名無しさん@13周年@転載禁止
14/04/12 13:45:25.24 eAI/2i2X0
俺が若ハゲで炉利好きってのがバレ無きゃ ドーでもいいわ

497:名無しさん@13周年@転載禁止
14/04/12 13:51:54.36 AtCBiQv40
クレカのサイトに不正アクセスの案内が載ってたな
バグありのバージョン使ってるかどうか調べてやがるのか

498:名無しさん@13周年@転載禁止
14/04/12 14:27:37.35 8/pb6csj0
>>480
openだから発覚したんだが?
closedだと全くわからず使ってる可能性が高い。

499:名無しさん@13周年@転載禁止
14/04/12 14:38:51.28 2O8X6+qw0
まぁクライアントPCは影響はないと思うが libeay32.dll と ssleay32.dllを検索して
バージョンを見て 1.0.1.6以前だったら 1.0.1.7以降のものに入れ替えとけ。

0.9系は対象外

500:名無しさん@13周年@転載禁止
14/04/12 14:43:57.37 2O8X6+qw0
>>483

CentOSやRedHatは1.0.1gにするんでなく、1.0.1eベースにパッチ当てで
配布だから 1.0.1e-15で対処済みのはず。
どっかに各ベンダーの対応バージョン一覧があった。

501:名無しさん@13周年@転載禁止
14/04/12 15:29:40.36 gEkU40nn0
もう大体対応しただろうから、2年前から数日前までに穴が空いてたサイトの一覧を公表してくれ。
PFSに対応してたTwitterとかなら、仮に脆弱だったとしても鍵が毎回違うから狙われてないと思うけど。
その期間に漏れたのは仕方ないから、パスだけ変えとく。

502:名無しさん@13周年@転載禁止
14/04/12 15:34:12.73 o4xXqCWGI
どのサイト使ってたらヤバイの?
誰か教えておくれ

503:名無しさん@13周年@転載禁止
14/04/12 15:35:09.10 2O8X6+qw0
>>232
pingみたいなもの

504:名無しさん@13周年@転載禁止
14/04/12 16:18:22.64 8KauJMnP0
FWのセッションテーブルから落ちないようにSSHが飛ばすHeartbeatと同じ?

505:名無しさん@13周年@転載禁止
14/04/12 16:32:06.47 Afn5QsIB0
>>484
ドヤ顔で書き込んだのがそれ?

506:名無しさん@13周年@転載禁止
14/04/12 16:58:43.73 knCGWssx0
>>502
ぶっちゃけヤバくない

チェックサイトでチェックしてみて未対応ならそこの管理体制はかなりヤバい

507:名無しさん@13周年@転載禁止
14/04/12 17:04:01.25 2O8X6+qw0
>>504
keep-alive用途ってことだから同じだろうね。

仕組みとしては、こちらから送ったデータをそのまま送り返してくる機能だそうだけど、
送る側が実際のデータ長と違う数値を、ヘッダーのデーター長エリアに記載して送ると、
その記載されたデーター長のデータをメモリから拾って送り返してくる。

送るデータが0バイトなのに、ヘッダーに64Kバイトと書いて送ると、サーバーは
受信バッファのメモリ領域64kバイトを切り取って送り返してくるらしい。

受信バッファには直前に受信したデータとかが残ってたりするから、それが流出してしまうという。

508:名無しさん@13周年@転載禁止
14/04/12 17:22:06.76 1pRre64/0
>>507
あんまよう、わかってないから勘違いだったらごめんなさい。
open-SSLの、keep-alibe(ハートビート?)機能ってのは

宅急便でいえば

クライアント:「あなたに64kgの荷物を送ります(送り状に内容物64kgと記載)」
→サーバー:「はい受け取りました、64kgの荷物をそのまま送り返します」
荷物が送り返されてくるかで、「通信相手のサーバの生死を判断」している。

ところが、今回の場合、

クライアント:「あなたに64kgの荷物を送ります(送り状に内容物64kgと記載)(だが中身は実は空)」
→サーバ:「はい受け取りました、だけど空っぽなので私の持っている荷物、64kg分(これが暗号化用の情報が格納されていることがある)を入れて送り返します」

って感じ?

509:名無しさん@13周年@転載禁止
14/04/12 17:34:27.61 2O8X6+qw0
>>508
>→サーバ:「はい受け取りました、だけど空っぽなので私の持っている荷物、
>64kg分(これが暗号化用の情報が格納されていることがある)を入れて送り返します」

サーバーは送られてきた荷物が64kgあるのか、からっぽなのか確認せず伝票に
書かれている64kgというのを見て、そこら辺にあった荷物64kgを送り返すって感じかな。

サーバー側が伝票だけ見て、実際に送られてきた荷物を確認していないのが、
今回の事態を引き起こしたんだよね。

510:名無しさん@13周年@転載禁止
14/04/12 17:45:46.96 1pRre64/0
>>509
ありがとうございます。勉強になりました。

511:名無しさん@13周年@転載禁止
14/04/12 17:54:15.81 x/5j3mwM0
>>502
今はもう大体対応済みだけど、
一応パスワード替える程度はしておいた方がベターかも
まあこういうの無くても定期的にやった方が良いんだけど

512:名無しさん@13周年@転載禁止
14/04/12 18:29:18.44 1/rLwN+V0
>>483
ディストリビューションの1.0.1eは対策済みと未対策のバージョンが細かい末尾
の番号で分かれるようだ

513:名無しさん@13周年@転載禁止
14/04/12 21:10:48.10 g/trDRPR0
gmailはパス変更不要でFA?

514:名無しさん@13周年@転載禁止
14/04/12 23:05:17.61 f0fEmoZJ0
プログラムのバグの結果でなく、
意図的にプログラムされたものだとしたら

515:名無しさん@13周年@転載禁止
14/04/13 03:14:17.74 gA+CSMUa0
>>514
どういう理由で必要だと思って実装したのか
その実装した人に聞かんと分らんだろうね
これが無いバージョンのものでもなんら問題は無かったわけだから。

516:名無しさん@13周年@転載禁止
14/04/13 03:33:04.76 +81LNyoC0
はぁ?

HeartBeat Extension は RFC6520 で規定されている TLS の正式な機能ですけど…

思いつきで実装するわけねーだろ

RFC6520を100回読めカス

517:名無しさん@13周年@転載禁止
14/04/13 03:46:07.70 TBbJPSzt0
なんでそれがRFCに盛り込まれたか、まで話が広がるだけだろ。
そっちはソースコード追っただけじゃ分からん話だし。

518:名無しさん@13周年@転載禁止
14/04/13 03:48:34.94 +81LNyoC0
RFCに書いてあるから読め
読んで納得いかなかったらまた来いや

519:名無しさん@13周年@転載禁止
14/04/13 05:03:26.80 nHY5B9AJ0
>>25
軍の極秘機密の兵器なのに部外者や敵軍が簡単に操縦できてしまう。

520:名無しさん@13周年@転載禁止
14/04/13 08:08:59.69 w+Dn6yr00
>>516
“なぜTheo de RaadtはIETFに激怒しているのか”で検索してみたら
リンク貼りたかったけど貼れなかった


最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch