14/04/09 20:56:07.97 CIP98pGL0
>>374
やばいのはサーバー側じゃね?
376:名無しさん@13周年@転載禁止
14/04/09 21:12:18.56 IZErtrtY0
>>375
サーバだけど通信傍受するのは今回の脆弱性とはまた別の問題だよね
傍受されても暗号化されてるよってのがSSLが提供するセキュリティのひとつだから
377:名無しさん@13周年@転載禁止
14/04/09 21:20:50.93 xNQRnaOP0
いい人が初めて発見したのであって悪い人はもう知ってたかも
すでにキーが盗まれてる可能性を考えると
本当はSSLだけじゃなく鍵もつくりなおさないとだめなのでは
そうなるとどれだけの費用になるだろうか
378:名無しさん@13周年@転載禁止
14/04/09 21:25:10.30 vw7CpI8M0
opensslがApacheのモジュールとして動いてるときApacheがアクセスできるディレクトリにはアクセスできそうだけど
ディレクトリトラバーサルできるってことなのかな?
物理メモリ全部見れたらサーバごと乗っ取れるしSELinuxとか乗り越えられるんだったらバグといよりウィルス
379:名無しさん@13周年@転載禁止
14/04/09 21:32:36.39 VOCIcuRf0
>>377
だいたい無料で再発行してくれてるよ
今日1日keyとcsr作るお仕事だったよ、、、、、、
380:名無しさん@13周年@転載禁止
14/04/09 21:53:46.90 ZpYWpmTa0
再発行は無料としても、
サービス元は相応の人件費掛かってるからな
対策費用も膨大か
381:名無しさん@13周年@転載禁止
14/04/09 22:17:11.75 coOwL7Gh0
>>378
秘密鍵盗まれて偽サーバ建てられるのが一番厄介じゃないか。
382:名無しさん@13周年@転載禁止
14/04/09 22:44:55.94 NKWeSp0U0
>>379
おまおれ
383:名無しさん@13周年@転載禁止
14/04/10 00:09:06.84 8qFBKecH0
午前中はこれの対応で丸々潰れた
384:362@転載禁止
14/04/10 00:21:07.32 e0ehBVfw0
>しどこかのアタッカーが、いずれ解読するつもりでサーバーから山ほどの暗号化データを取り出して持っていたら?
>それらを解読するためのキーを手に入れているかもしれない(アタックしたサーバーの構成による。例えば、Perfect Forward Secrecyを使って
>設定されているかどうか)。
ちょっとだけ調べたが、PFSを使ってるGmailやTwitterは、「過去を遡る暗号解読(retrospective decryption)」されないそうだ。
通信ごとに違う鍵を使うんだってさ。
同一サービスの過去の暗号化通信って、この脆弱性以外でも盗られてたというか、普通に取れたりはしないか?
SSLでもOpenでないとかPFSされてるとか、証明書見たら分かるようにブラウザを作ってほしい。
FireFoxならそんなアドオンも出るかな。
とりあえずはこれで間に合わせるか。
Test your server for Heartbleed (CVE-2014-0160)
URLリンク(filippo.io)
385:名無しさん@13周年@転載禁止
14/04/10 00:21:48.30 r3kC4R2T0
+じゃapacheを知らない子が9割ほどなのかね
386:名無しさん@13周年@転載禁止
14/04/10 00:24:33.12 B82liSG30
>>372
それ公開してよ
387:名無しさん@13周年@転載禁止
14/04/10 00:31:41.50 nFvHe30bO
2ちゃんもさっき対策したみたいだな
●と浪人がログイン出来なくなった原因がそれだった
388:名無しさん@13周年@転載禁止
14/04/10 00:39:03.34 8qFBKecH0
まあサーバサイドがなんぼ対応しようが
クライアントサイドが証明書を再取得しない限り
リスクは消えないんだよな
389:名無しさん@13周年@転載禁止
14/04/10 00:46:05.62 nFvHe30bO
>>388
いままでならそんな理由つけてで放置しかねないから 即日対応って事だけで驚いたわ
390:名無しさん@13周年@転載禁止
14/04/10 00:50:02.00 8qFBKecH0
>>389
これに関しちゃ信用問題に発展しかねないし
即日対応せざる得ないわな
391:名無しさん@13周年@転載禁止
14/04/10 01:04:44.26 H1pBw0pT0
たぶん、リリース時に意図して仕込んであったと見るべきだな。
392:名無しさん@13周年@転載禁止
14/04/10 01:06:15.53 HCNR1TwH0
んで国内のサービスだとどこがやばいバージョン導入してんの?
393:名無しさん@13周年@転載禁止
14/04/10 01:09:57.01 8qFBKecH0
>>392
とりあえずネットバンキングやってるとこで電話来たとこはヤバめ
東京UFGとか
394:名無しさん@13周年@転載禁止
14/04/10 02:52:49.75 HCNR1TwH0
>>393
東京UFGとかいう銀行はしらんけど
どっからも電話もメールも来てないから安心して寝ていいってことね
395:名無しさん@13周年@転載禁止
14/04/10 02:58:29.23 9astF3UN0
>>167
そんなことできたら今頃ロシアも中国もフルボッコだろ
396:名無しさん@13周年@転載禁止
14/04/10 06:20:00.89 je7FEFsB0
箱入りのお堅いお嬢様かと思ったらガバガバのヤリマンだったて事か
397:名無しさん@13周年@転載禁止
14/04/10 12:43:58.55 c+2htbJY0
shopserveがメモリ見れるな・・・
398:名無しさん@13周年@転載禁止
14/04/10 12:49:56.69 kG5V1KZE0
また代引き最強が証明されたか
399:名無しさん@13周年@転載禁止
14/04/10 13:10:54.57 N2vaZ9yS0
>>337
取り返しの付かない状態だって事!?
つか、毎度来てる
このメッセージにはご注意ください。個人情報を騙し取るのに使用されていたのと同じ、不審なリンクが含まれています。
信頼できる送信者でない限り、リンクをクリックしたり、個人情報を返信したりしないでください。 詳細
お客様
株式会社营团社サービスシステムをご利用いただき、ありがとうございます。
システムはお客様のアカウントが異常にログインされたことを感知しました。
下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願いします。
これを思い出したwww
400:名無しさん@13周年@転載禁止
14/04/10 13:14:22.12 N2vaZ9yS0
>>398
つ 購入履歴情報
401:名無しさん@13周年@転載禁止
14/04/10 13:17:56.71 N2vaZ9yS0
おっ、地震w
402:名無しさん@13周年@転載禁止
14/04/10 13:41:00.78 H1pBw0pT0
ハートビートにアタックかけて、ハートアタックか。
誰かぁ、SSLちゃんが鼓動をしていないの。
403:名無しさん@13周年@転載禁止
14/04/10 13:42:22.16 uN2f/mw00
こういう公表は既にパッチ当ててからってのが通常
404:名無しさん@13周年@転載禁止
14/04/10 13:48:09.21 bUI6es5D0
>>401
千葉?
405:名無しさん@13周年@転載禁止
14/04/10 13:55:02.68 fSDIBgVG0
SSL証明書発行業者各社はちゃんと脆弱性と再発行喚起のアナウンス連絡したのかな?
ホームページでまったく触れられてない業者も多いのだけど…
406:名無しさん@13周年@転載禁止
14/04/10 14:19:50.97 H1pBw0pT0
通信プログラムについては、
機械の命令語の部分は、ローダーによってメモリ上に配置格納するときに
命令キャッシュのラインのサイズ、たとえばそれが32バイトだったら
32バイト単位でもってランダムに設定された置換表によって置き換えて
格納しておき、CPUに持ち込むときに始めて逆の変換によって本来の
命令語のパターンに戻してから実行する機構を設ければ、バッファー
オーバーフローによってメモリ上の命令ではないデーターであるかの
ように命令語のデーターを上書きできるとしても、置換表がどうなって
いるのかを伺い知らなければ期待したとおりの動作をさせることは
できない。これにより、侵入者の思惑をくじき、あるいはある程度の率で
そのようなアタックが試みられていることを不正命令による異常終了の
発生により検知することが期待できる。
407:名無しさん@13周年@転載禁止
14/04/10 14:45:06.77 g294on1r0
>>405
まだ事態と影響の範囲の把握、内部で対応マニュアルできてないだろうから
来週の月曜くらいから対応が本格化するんじゃないか
408:名無しさん@13周年@転載禁止
14/04/10 15:08:45.77 oqSk/LWl0
>>406
なんかよくわからんが、書き換え可能な領域に実行可フラグを立てなければいいんじゃないの。
スタック上で状態やリターンアドレスなんかを操作する手口については多分 >>406 で言おうとしてることは無意味そうだし、やっぱよくわからん。
409:名無しさん@13周年@転載禁止
14/04/10 15:50:57.11 5yj6L+j00
ゲロヤバレベルだからデリケートな情報を扱ってるところはすぐアナウンスがあると思いきや全然ないのな
さっきアップデートしたから大丈夫とか言い出さないか不安
410:名無しさん@13周年@転載禁止
14/04/10 16:30:58.26 e0ehBVfw0
>>384
もっといいサイトがあった。
Qualys SSL Labs - Projects / SSL Server Test
URLリンク(www.ssllabs.com)
>The server does not support Forward Secrecy with the reference browsers.
とか、ドメインを入れたら(P)FS使用の有無まで出てくる。
ここで安全性が確認されたサイトなら、今のHTTPSを信用してログインしても大丈夫かもな。
今は対処したけど前に該当してたってのなら、アカウントのパスワード変更をしたほうがいいかも。
今の暗号化通信は安全になってても、前のは漏れてた可能性が有るから。
411:名無しさん@13周年@転載禁止
14/04/10 17:19:19.06 c+2htbJY0
>>410
レーティングはAが1番良いんだよね
気になるサイト見たらFばっかりだった
412:名無しさん@13周年@転載禁止
14/04/10 21:50:23.38 IrcXfAjK0
amazonはBか
413:名無しさん@13周年@転載禁止
14/04/10 22:52:56.90 2+WBe+Uu0
更新は簡単だが証明書の再発行が面倒だな
414:名無しさん@13周年@転載禁止
14/04/10 23:28:46.74 UcExUBQF0
>>410
失礼ですがあなたはPFSとは何かを(人に説明できるレベルで)理解した上で書いていますか?
415:名無しさん@13周年@転載禁止
14/04/10 23:29:30.84 4lIGD5dn0
Dropboxは?
416:名無しさん@13周年@転載禁止
14/04/10 23:30:22.91 PWPBhH/30
>>35
とりあえずネットで買い物したことがあるカードを
使用停止にすればいいの?
417:名無しさん@13周年@転載禁止
14/04/10 23:41:19.54 4lIGD5dn0
dmm.co.jpが「F」なのが怖すぎるわ
418:名無しさん@13周年@転載禁止
14/04/11 00:38:26.71 RYh6BvC00
>>85
419:名無しさん@13周年@転載禁止
14/04/11 04:46:12.42 rR8S5BGu0
>>410
今回のHeartbleed attackにはnot vulnerableでも、
MITM attacksにはダメでFになるサイトがあるぞ
420:名無しさん@13周年@転載禁止
14/04/11 06:33:11.47 LdEWyCww0
しかし、NHKの定時のニュースで数日間はトップ扱いされるべき緊急警告事項なのに
マスコミも主要サイトも、未だな~んにも無かったような我が日本国w
421:名無しさん@13周年@転載禁止
14/04/11 06:45:07.57 NVFprB+Z0
>>420
この国のITに関する危機意識は更新国レベルだからな
422:名無しさん@13周年@転載禁止
14/04/11 06:52:27.29 sDYog1Fm0
これ、ヤマハルータのストール、再起動のやつと関連ある?
423:名無しさん@13周年@転載禁止
14/04/11 06:53:10.28 c3BwlI5c0
yodobashi.comも「F」かよ、ポイント早めに使い切って脱会
した方がいいかな?
424:名無しさん@13周年@転載禁止
14/04/11 06:59:00.48 LdEWyCww0
米国紙ではヘッドライン扱いの大見出しw
今すぐパスワード変更を―セキュリティー脅かす「Heartbleed」(ウォール・ストリート・ジャーナル)
URLリンク(jp.wsj.com)
425:名無しさん@13周年@転載禁止
14/04/11 07:11:07.16 G1Y1jpT80
>>421
まぁ、おまえの日本語もそのレベルだしな。
426:名無しさん@13周年@転載禁止
14/04/11 08:06:22.69 waIOsnd70
よくわかんないけどパスワード変えればいいの
427:名無しさん@13周年@転載禁止
14/04/11 08:13:57.16 wF6rdqcS0
ニュースになるころには大半が籠絡済みなんだろうな
428:名無しさん@13周年@転載禁止
14/04/11 08:14:04.29 XFz0StsQ0
悪い人は、こっそりとサーバーのデータを盗む。
良い人は、堂々とさーばーのデータを盗んでみせる。
悪い人は、サーバーの善し悪しをよく知っている。
良い人は、サーバーの利点欠点をよく知っている。
429:名無しさん@13周年@転載禁止
14/04/11 08:18:53.91 KOdeCnKlO
>>420
著名なアナウンサーがパワーポイントを知らないんだから
事の重大さがわからないんだよ
430:名無しさん@13周年@転載禁止
14/04/11 08:21:45.19 fS11PQari
>>424
今変更しても、opensslのうp終わってなかったら意味無しなわけですがそれは
431:名無しさん@13周年@転載禁止
14/04/11 08:23:19.23 dEYlKvSaO
伝書鳩の時代が来るな
そして元悪質ハッカーたちは鷹や鷲を飼う
432:名無しさん@13周年@転載禁止
14/04/11 08:24:08.92 b29W3sVs0
ネットに個人情報ぶち込まないおいらはきょうもXP
433:名無しさん@13周年@転載禁止
14/04/11 08:24:31.82 pV2pvmgNO
鯖は、早急に修正
ユーザーは、事前にダウンロードした人間が居ないことを神に祈る
434:名無しさん@13周年@転載禁止
14/04/11 08:28:09.94 T9RWNv+o0
SSLに穴なんて、本末転倒。
何のためのものなのかね。
435:名無しさん@13周年@転載禁止
14/04/11 08:33:11.05 EtRMTaNm0
>>431 不登校児って、そんあこと考えて一日がおわるんだな がっこいけ
436:名無しさん@13周年@転載禁止
14/04/11 08:35:29.92 jOqBX0Aj0
>>420
XPのサポート期限切れ報道で、仮想化すれば大丈夫と言ったNHK様だからな。
437:名無しさん@13周年@転載禁止
14/04/11 09:01:52.04 sDYog1Fm0
>>436
煽ったせいで客が過剰反応しててLAN引き直させたりよけいに怖いんだが。
インターネットにつながないでLANだけでUSBメモリで運用するとか言い出したけど、
ウィルス対策は切れたままでいいとか言い出すし…
438:名無しさん@13周年@転載禁止
14/04/11 11:04:22.32 s7/g79l70
>>424
それ罠だよ
サーバ側の対処が終わってない内にパスワード変更なんかしたらそれを盗まれて乗っ取られる
対処が終わったって発表があるまでパスワード変更どころかログインもしちゃダメ
439:名無しさん@13周年@転載禁止
14/04/11 11:08:39.31 PTRTXnn00
いいこと考えた、
CloseSSL を開発する!
440:名無しさん@13周年@転載禁止
14/04/11 11:35:35.71 7HMeMV6Q0
Google、Dropbox、Facebookはセキュリティコード送信でのログインに設定したからいいのかな?
Yahooはワンタイムパスワードにした。
銀行やカード会社系が、対処終わっているのか不明で心配だ。
今ログインしてパスワード変えると、逆に盗まれる可能性があるんでしょ?
441:名無しさん@13周年@転載禁止
14/04/11 11:39:38.40 wF6rdqcS0
ITは破滅の淵を綱渡りする業界のように思えてならない
442:名無しさん@13周年@転載禁止
14/04/11 11:41:29.27 ucnYqfWF0
>>437
がんばって説得
USBからウィルス感染したらLANを通じて全部のPCに移るよ、と
学級閉鎖でも例に出してがんばるんだ
XPPCはLANに繋いでたらインフルエンザ感染で脳症になって
死亡する確率の高い高齢者PCと同じなんだとか
XPは人間だと100才超で7は20才の若者とかいって免疫力の違いを説明しろ
ウイルス対策切れたままは老人がインフル流行の渦中に行くようなもんだと
>>436
仮想化かあ…すばらしいな(棒)
今回の件はできれば静かに対策終わらせてからニュースにしてほしい
443:名無しさん@13周年@転載禁止
14/04/11 11:46:20.72 r7oAOdBw0
>>423
Heartbleedは大丈夫って出るよ
URLリンク(filippo.io)
444:名無しさん@13周年@転載禁止
14/04/11 11:52:17.62 ceWchQUe0
FreeBSDは
freebsd-update fetch
freebsd-update install
の2つのコマンドでOKでセキュリティパッチがあたった
リブートも必要無しで5分ぐらい
445:名無しさん@13周年@転載禁止
14/04/11 12:01:38.96 EqqV7dYn0
国内だとプライベートサーバとかレンタルサーバが問題の中心かな
国内大手は変なところでガラパゴスだったのが幸いして影響がほとんどなさそう
446:名無しさん@13周年@転載禁止
14/04/11 13:00:31.48 sDYog1Fm0
>>442
おおサンクス
今回、なまじ知ってる情シス兼総務部長みたいなとこが一番騒いでるから、そういう話の方が理解されやすいから助かるわ
447:名無しさん@13周年@転載禁止
14/04/11 13:27:09.23 XkAtkRKN0
>>377
NSA「何のことやらさっぱり・・・」
448:名無しさん@13周年@転載禁止
14/04/11 16:56:27.80 vuydYWr70
>>414
ごめんなさい、素人セキュリティです。
ちょっとググって、同じ暗号化鍵を使い続けないことで、過去に遡る情報漏洩を避ける物と解釈しましたが間違いですか?
開発者どころか管理者でもない、一ユーザークライアントとしての安全性追求だけを自己流でやってきたもので。
>>419
yodobashi.comもそうなのかな。
>This server is vulnerable to MITM attacks because it supports insecure renegotiation. Grade set to F.
>Insecure Client-Initiated Renegotiation Supported INSECURE (more info)
って出るが、中間者攻撃の脆弱性の詳細はよく分からない。
管理者にメールすれば直してくれるのかな。
Heartbleed attackでアウトなのは、inter7.jpくらいか。
あそこは元々オレオレ証明書だし、既に漏れてたけど漏れっぱなしなんだろう。
449:名無しさん@13周年@転載禁止
14/04/11 17:00:40.29 jIHpsOdL0
PFSとやらがワンタイムパスワード的に公開鍵/秘密鍵ペアを生成してやってるなら過去の物に関しては安全だろう
もとより使い捨てだけど、セッション鍵だけ使い捨てるんじゃ今回のようなケースに効果はないからね
450:448@転載禁止
14/04/11 17:15:29.44 vuydYWr70
>>449
もうちょっとだけ調べたけど、暗号化通信の前提になる鍵交換を毎回やる感じなのかな?
暗号化通信のセッションごとに異なる暗号鍵を使うのは元からか。
スノーデン絡みで対NSAの政治活動がどうとか出てきた。
TorがPFSに対応してなかったりすると、過去の通信の発信元の匿名性が危なかったりするのかな?
技術者としてでなく利用者としてのいい加減な知識だから、あんまり深入りしないほうが長生きできるかも。
親戚づきあいがなくて子供がいないし、子孫まで遺る汚名や迫害は気にしなくていい立場だけど。
自分が死んでからなら、実名と書き込み(購入検索閲覧)履歴が紐つけられて公開されてもいい程度に、それが恥さらし程度で済むようには行動したい。
451:名無しさん@13周年@転載禁止
14/04/11 17:17:41.54 E0ja2Yok0
>>420
たしかに普段ネット関係は不当にネガキャンするくせに
本当に大きな不祥事あったらスルーなんだなw
452:名無しさん@13周年@転載禁止
14/04/11 17:17:47.02 mO8/5COz0
>>65
政府は物凄い数のPCを並列処理させてると思うんだ
何年もかかるかどうか。
453:名無しさん@13周年@転載禁止
14/04/11 17:35:15.47 RrW8s+BK0
アマゾンと楽天は入っていないようだな
ヤフオク使ってるやつザマァwww
yahoo.com
imgur.com
flickr.com
redtube.com
kickass.to
okcupid.com
steamcommunity.com
hidemyass.com(←ここはユーザーの個人情報をvpn.hidemyass.comに保存してるので大丈夫だそうです。直接米ギズモードに連絡がありました)
wettransfer.com
usmagazine.com
500px.com
454:名無しさん@13周年@転載禁止
14/04/11 17:36:21.16 gvH/fhF40
>>26
MicrosoftもOpenSSL使っていたけどなw
455:名無しさん@13周年@転載禁止
14/04/11 17:42:09.81 jIHpsOdL0
>>450
どうも鍵交換にRSAの公開鍵で暗号化した秘密鍵(の元)を送らせる方法ではなくて
Diffie-Hellman鍵交換という方法を使うものを言うらしいね
456:名無しさん@13周年@転載禁止
14/04/11 17:49:48.03 nNGO5FHO0
出来る人はネットサービス会社に対応の確認してほしい
自分は今忙しくてできないんですまん
家族が地元のネットバンク利用してるんだがうまく説明できないらしいし
ちょっとしたらそれは確認してみる
457:名無しさん@13周年@転載禁止
14/04/11 17:55:23.84 xm6bQqfR0
>>339
Amazonは大丈夫だな。
458:名無しさん@13周年@転載禁止
14/04/11 18:02:27.27 nNGO5FHO0
これプロバイダも影響ある?
申し込みとかSSLだよね
459:名無しさん@13周年@転載禁止
14/04/11 18:09:35.69 Fo5UbNMF0
つ)
URLリンク(www.netagent.co.jp)
460:名無しさん@13周年@転載禁止
14/04/11 18:13:39.89 5GadQDtp0
NHKトップ
461:名無しさん@13周年@転載禁止
14/04/11 18:30:14.35 kKG0U9W70
www.ssllabs.comでチェックしたら
onedrive.live.comはFランクのも使ってる
Heartbleedはクリアしてるようだけど
462:名無しさん@13周年@転載禁止
14/04/11 18:34:19.33 nNGO5FHO0
lastpass.com/heartbleed/
ここから調べるとほとんどPossibly Unsafeでパス変更も待てって出るけど
sslcheck.globalsign.com/ja/
こっちだと逆にほとんど大丈夫そうだが実際どうなんだろ
しかし中間者攻撃に弱いとこばっかりで別の心配が出る
filippo.io/Heartbleed/ は反応してくれなかった
463:名無しさん@13周年@転載禁止
14/04/11 18:37:00.26 kKG0U9W70
onedriveは使ってないんだけど
3ヶ所使ってたアップローダーで、1ヶ所引っかかたんで
そこはファイル削除した
速度早くて便利だったんけどさ
464:名無しさん@13周年@転載禁止
14/04/11 18:44:13.48 hDIvIOvg0
ファイルなんか削除しに行くなよw
そんなところは放置して同じパスワード使ってるところのパスワード変えないと。
クレジットカード登録してるところがやばければ削除しに行くのは意味があると思うが。
まあやばいファイルも削除はした方がいいが。
465:名無しさん@13周年@転載禁止
14/04/11 20:14:09.31 9QuHo26S0
3回、勝手に請求されていたけど、これだったか。
466:名無しさん@13周年@転載禁止
14/04/11 20:38:15.88 v6PkU+TI0
チェック方法まとめ:OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 - @IT
URLリンク(www.atmarkit.co.jp)
467:名無しさん@13周年@転載禁止
14/04/11 20:38:47.80 v6PkU+TI0
OpenSSLの「Heartbleed」脆弱性に便乗攻撃、陰謀説や政府機関利用説も - ITmedia エンタープライズ
URLリンク(www.itmedia.co.jp)
468:名無しさん@13周年@転載禁止
14/04/11 21:38:16.65 YaglTPYB0
うんもーなんなの!ageとくわ
469:名無しさん@13周年@転載禁止
14/04/11 21:43:16.80 SUuiF9dC0
>>446
参考になるなら良かった
他人事じゃないからなー
喩え話はその人が興味ある分野か
一般的によく知られてることでいくといいよ
騒いでくれてるのは無関心より全然良い
何かあったときの対策とか被るのはメンテ側になるから
しっかり説得せんと
>>467
何で心電図取る必要何てあるんだってことだからな
陰謀説だって出るだろう
470:名無しさん@13周年@転載禁止
14/04/11 23:08:59.35 /FtWIASi0
>>467
ユーザー側に出来ることが無いって記事読んだけど大事になってるんだね
某所でチラッとニュース欄の記事を読んで騒動を知ったよ
471:名無しさん@13周年@転載禁止
14/04/12 00:24:48.05 8KauJMnP0
???「それ見たことか、サーバーで動かすソフトってのは十分に枯れた古いバージョンのままにしておくのがいいんだよ」
472:名無しさん@13周年@転載禁止
14/04/12 00:27:54.44 Zv6gvnzd0
>>470
PC内を検索して、該当するverのssleay32.dllとlibeay32.dllがあったら
念のために上書きしておいたほうがいいよ
ウイルスバスターや一部の専用ブラウザで使われてる
473:名無しさん@13周年@転載禁止
14/04/12 00:28:25.42 xR8GeCiU0
鈴木大輔さんこんばんは。
474:名無しさん@13周年@転載禁止
14/04/12 02:09:28.37 4idOiaIS0
2年間放置
googleが発見
->googleによる個人情報漁り完了済み
475:名無しさん@13周年@転載禁止
14/04/12 02:22:08.33 RpDP1hU40
>>474
なーるほど
476:名無しさん@13周年@転載禁止
14/04/12 02:47:39.00 8/pb6csj0
googleは生データの方抑えてるから、
こんな暗号化されたものしか得られない不確かな方法に頼る必要ない。
477:名無しさん@13周年@転載禁止
14/04/12 03:23:43.33 6GtMfClw0
例えば
googlebot がクロールの振りをしてサイトの秘密鍵を盗みまくる
google DNS (8.8.8.8 と 8.8.4.4) でDNS詐称して偽サイトに誘導
完全犯罪成立ですな
478:名無しさん@13周年@転載禁止
14/04/12 05:51:05.99 hHG4IQnD0
ヤフオク行ったーーーーーーーーーーーーーーーーーーーーー(泣)
479:名無しさん@13周年@転載禁止
14/04/12 05:55:31.28 Qc9S3isU0
openssl 1.0.1e-fipsってどうなのよ?
480:名無しさん@13周年@転載禁止
14/04/12 05:57:25.55 6ONJLzl90
open何とかってのは、実は一番危険。誰が何を仕込んだかわからん。
481:名無しさん@13周年@転載禁止
14/04/12 05:59:25.12 Qc9S3isU0
これってダウングレードしろってこと?
482:名無しさん@13周年@転載禁止
14/04/12 05:59:56.85 6ONJLzl90
ネット決済はやめて現金商売に戻すしかないのか。
483:名無しさん@13周年@転載禁止
14/04/12 06:25:53.74 Qc9S3isU0
apt-getやyumでアップデートしたけど1.0.1e-5が1.0.1e-15になっただけだぞ?
rpmとかで落としてこないとだめなの?
484:名無しさん@13周年@転載禁止
14/04/12 06:41:38.78 6GjDaUE10
勘違いしているアホのために
・一般的なインターネット通信は、そもそもSSLで暗号化をしていない
(例えば2chとの送受信も暗号化していない)
・銀行webなどクレカ情報などを入力するwebサイトはSSLで暗号化している
485:名無しさん@13周年@転載禁止
14/04/12 08:13:02.10 zYSgVCqp0
このスレが伸びないのは訳分からんていう俺みたいな奴ばっかだからだろう
何も知らないから煽ることも嘆くことも出来ない
486:名無しさん@13周年@転載禁止
14/04/12 08:26:04.10 n2EtHQcq0
>>460
警察庁の注意喚起があったからかな。
URLリンク(www.npa.go.jp)
の作成時刻が17時過ぎになっているようだし。
警察の文書は攻撃に対しての注意喚起だけど、本来なら危険な
大穴が…という時点で、海外メディアの後追いででも報じていて
当然だろうけど。CNN、ロイター、AFP等々、ネット関係のメディア
よりははるかに遅いにしても、すでに大きく報じていたわけだから。
487:名無しさん@13周年@転載禁止
14/04/12 08:27:15.32 1mArWHFf0
ログインしないほうがいいって言うけど
登録してるクレカ削除しなくて大丈夫なのかな?
488:名無しさん@13周年@転載禁止
14/04/12 09:32:38.63 FVWl/NJi0
>>487
すでに収集されてれば今から消しても意味はない。
まだ収集されてないならサーバ内にあるだけだからそっとしとけば誰にも見られない。
ログインすればその通信を傍受・解読されて盗まれる可能性がある。
と言っても通信を傍受されてることなんてほとんど無いから、お前が通信を控えること自体はまず意味がない。
なので、さっさとログインして消しておく方が無難だとは思う。
まだ盗まれてなくてもこれから管理者パスワードとか盗まれないとも限らないし。
まあ、めんどくさいんでおれはそんなことしないし、普通に買い物もしちゃうけど。
489:名無しさん@13周年@転載禁止
14/04/12 09:37:25.57 UxyYAghP0
>>366
その攻撃の仕方がわからんのだが
>>483
OSとバージョンによる
クグればまとめサイトがあるよ
490:名無しさん@13周年@転載禁止
14/04/12 09:50:58.31 x/5j3mwM0
昨日自分が使ってるサイトについて調べてたけど
あんまり大々的にニュースになってない割にどこも対応早いな
取りあえず金融系とSNSについてはパスワード変更しておいた
491:名無しさん@13周年@転載禁止
14/04/12 10:42:17.20 6Or/V6Xf0
M$とかってのは、実は一番危険。誰が何を仕込んだかわからん。
492:名無しさん@13周年@転載禁止
14/04/12 10:49:43.88 6Or/V6Xf0
OpenBSD, OpenSSLと訣別
tyamagch曰く、"daemonnewsの記事から OpenBSD Projectが、SUNから暗号化技術の寄付を受けたOpenSSLと訣別するらしい。Theo de Raadt氏は「Sunから寄付を受けたOpenSSLはもはや『フリーなソフト』とは言えない」と述べている。
IPFilterに対するpfなどの例からして、同じ機能のソフトを組み込むのだろうが、そのエネルギーには脱帽するしかない。 (daemonnewsには新しいソフトの名前は「OpenOpenSSL」?、「TheoSSL」? 「FreeSSL」というちゃちゃがあった。)"
493:名無しさん@13周年@転載禁止
14/04/12 13:40:31.63 PIGzyXMY0
おおごとなのだけしか分からないage
494:名無しさん@13周年@転載禁止
14/04/12 13:42:13.95 mzIbzOS/0
誰か馬鹿にも解る様に説明してくれよ
小学生だってネット使う時代なんだぜage
495:名無しさん@13周年@転載禁止
14/04/12 13:43:20.11 pc9nQ+H70
で?結局どうすればいいの?
(´・ω・`)
496:名無しさん@13周年@転載禁止
14/04/12 13:45:25.24 eAI/2i2X0
俺が若ハゲで炉利好きってのがバレ無きゃ ドーでもいいわ
497:名無しさん@13周年@転載禁止
14/04/12 13:51:54.36 AtCBiQv40
クレカのサイトに不正アクセスの案内が載ってたな
バグありのバージョン使ってるかどうか調べてやがるのか
498:名無しさん@13周年@転載禁止
14/04/12 14:27:37.35 8/pb6csj0
>>480
openだから発覚したんだが?
closedだと全くわからず使ってる可能性が高い。
499:名無しさん@13周年@転載禁止
14/04/12 14:38:51.28 2O8X6+qw0
まぁクライアントPCは影響はないと思うが libeay32.dll と ssleay32.dllを検索して
バージョンを見て 1.0.1.6以前だったら 1.0.1.7以降のものに入れ替えとけ。
0.9系は対象外
500:名無しさん@13周年@転載禁止
14/04/12 14:43:57.37 2O8X6+qw0
>>483
CentOSやRedHatは1.0.1gにするんでなく、1.0.1eベースにパッチ当てで
配布だから 1.0.1e-15で対処済みのはず。
どっかに各ベンダーの対応バージョン一覧があった。
501:名無しさん@13周年@転載禁止
14/04/12 15:29:40.36 gEkU40nn0
もう大体対応しただろうから、2年前から数日前までに穴が空いてたサイトの一覧を公表してくれ。
PFSに対応してたTwitterとかなら、仮に脆弱だったとしても鍵が毎回違うから狙われてないと思うけど。
その期間に漏れたのは仕方ないから、パスだけ変えとく。
502:名無しさん@13周年@転載禁止
14/04/12 15:34:12.73 o4xXqCWGI
どのサイト使ってたらヤバイの?
誰か教えておくれ
503:名無しさん@13周年@転載禁止
14/04/12 15:35:09.10 2O8X6+qw0
>>232
pingみたいなもの
504:名無しさん@13周年@転載禁止
14/04/12 16:18:22.64 8KauJMnP0
FWのセッションテーブルから落ちないようにSSHが飛ばすHeartbeatと同じ?
505:名無しさん@13周年@転載禁止
14/04/12 16:32:06.47 Afn5QsIB0
>>484
ドヤ顔で書き込んだのがそれ?
506:名無しさん@13周年@転載禁止
14/04/12 16:58:43.73 knCGWssx0
>>502
ぶっちゃけヤバくない
チェックサイトでチェックしてみて未対応ならそこの管理体制はかなりヤバい
507:名無しさん@13周年@転載禁止
14/04/12 17:04:01.25 2O8X6+qw0
>>504
keep-alive用途ってことだから同じだろうね。
仕組みとしては、こちらから送ったデータをそのまま送り返してくる機能だそうだけど、
送る側が実際のデータ長と違う数値を、ヘッダーのデーター長エリアに記載して送ると、
その記載されたデーター長のデータをメモリから拾って送り返してくる。
送るデータが0バイトなのに、ヘッダーに64Kバイトと書いて送ると、サーバーは
受信バッファのメモリ領域64kバイトを切り取って送り返してくるらしい。
受信バッファには直前に受信したデータとかが残ってたりするから、それが流出してしまうという。
508:名無しさん@13周年@転載禁止
14/04/12 17:22:06.76 1pRre64/0
>>507
あんまよう、わかってないから勘違いだったらごめんなさい。
open-SSLの、keep-alibe(ハートビート?)機能ってのは
宅急便でいえば
クライアント:「あなたに64kgの荷物を送ります(送り状に内容物64kgと記載)」
→サーバー:「はい受け取りました、64kgの荷物をそのまま送り返します」
荷物が送り返されてくるかで、「通信相手のサーバの生死を判断」している。
ところが、今回の場合、
クライアント:「あなたに64kgの荷物を送ります(送り状に内容物64kgと記載)(だが中身は実は空)」
→サーバ:「はい受け取りました、だけど空っぽなので私の持っている荷物、64kg分(これが暗号化用の情報が格納されていることがある)を入れて送り返します」
って感じ?
509:名無しさん@13周年@転載禁止
14/04/12 17:34:27.61 2O8X6+qw0
>>508
>→サーバ:「はい受け取りました、だけど空っぽなので私の持っている荷物、
>64kg分(これが暗号化用の情報が格納されていることがある)を入れて送り返します」
サーバーは送られてきた荷物が64kgあるのか、からっぽなのか確認せず伝票に
書かれている64kgというのを見て、そこら辺にあった荷物64kgを送り返すって感じかな。
サーバー側が伝票だけ見て、実際に送られてきた荷物を確認していないのが、
今回の事態を引き起こしたんだよね。
510:名無しさん@13周年@転載禁止
14/04/12 17:45:46.96 1pRre64/0
>>509
ありがとうございます。勉強になりました。
511:名無しさん@13周年@転載禁止
14/04/12 17:54:15.81 x/5j3mwM0
>>502
今はもう大体対応済みだけど、
一応パスワード替える程度はしておいた方がベターかも
まあこういうの無くても定期的にやった方が良いんだけど
512:名無しさん@13周年@転載禁止
14/04/12 18:29:18.44 1/rLwN+V0
>>483
ディストリビューションの1.0.1eは対策済みと未対策のバージョンが細かい末尾
の番号で分かれるようだ
513:名無しさん@13周年@転載禁止
14/04/12 21:10:48.10 g/trDRPR0
gmailはパス変更不要でFA?
514:名無しさん@13周年@転載禁止
14/04/12 23:05:17.61 f0fEmoZJ0
プログラムのバグの結果でなく、
意図的にプログラムされたものだとしたら
515:名無しさん@13周年@転載禁止
14/04/13 03:14:17.74 gA+CSMUa0
>>514
どういう理由で必要だと思って実装したのか
その実装した人に聞かんと分らんだろうね
これが無いバージョンのものでもなんら問題は無かったわけだから。
516:名無しさん@13周年@転載禁止
14/04/13 03:33:04.76 +81LNyoC0
はぁ?
HeartBeat Extension は RFC6520 で規定されている TLS の正式な機能ですけど…
思いつきで実装するわけねーだろ
RFC6520を100回読めカス
517:名無しさん@13周年@転載禁止
14/04/13 03:46:07.70 TBbJPSzt0
なんでそれがRFCに盛り込まれたか、まで話が広がるだけだろ。
そっちはソースコード追っただけじゃ分からん話だし。
518:名無しさん@13周年@転載禁止
14/04/13 03:48:34.94 +81LNyoC0
RFCに書いてあるから読め
読んで納得いかなかったらまた来いや
519:名無しさん@13周年@転載禁止
14/04/13 05:03:26.80 nHY5B9AJ0
>>25
軍の極秘機密の兵器なのに部外者や敵軍が簡単に操縦できてしまう。
520:名無しさん@13周年@転載禁止
14/04/13 08:08:59.69 w+Dn6yr00
>>516
“なぜTheo de RaadtはIETFに激怒しているのか”で検索してみたら
リンク貼りたかったけど貼れなかった