OpenSSL の 'Hertbleed' 脆弱性。 Heartbeet 拡張が原因。 セキュリティ勧告と修正済みバージョン 1.0.1g リリースは 2014年4月7日(米国時間)だった。 ニュースで知ったのが 11日。 私のサーバーの OpenSSL をアップグレードしたのが 12日。 自宅サーバーは 4、5日のあいだ放置されていた。 \(^o^)/

対策 1: アップグレード

私は MacPorts 派ですから以下のとおり。

% which openssl
/opt/local/bin/openssl
% openssl version
OpenSSL 1.0.1f 6 Jan 2014
% sudo port selfupdate
% sudo port upgrade openssl
% openssl version
OpenSSL 1.0.1g 7 Apr 2014

なんという簡単さ。要は port upgrade openssl だけです。こういうときも MacPorts 派であることのありがたさが身に染みます。

To upgrade your installed ports, you should run 'port upgrade outdated'

OpenSSL https://www.openssl.org/news/

TLS heartbeat read overrun https://www.openssl.org/news/secadv_20140407.txt

対策 2: SSL 証明書の失効

こっちが面倒。SSL certificates must also be revoked and replaced with new ones.

Webサイト運営者向け対策 http://blog.trendmicro.co.jp/archives/8927

Heartbleed の影響を受けるサイトは、OpenSSL のバージョン 1.0.1g にアップグレードして下さい。 この修正済みバージョンを適用できない場合は、Heartbeat拡張を無効にし、「DOPENSSL_NO_HEARTBEATS」を有効にした上で、アプリケーションを再コンパイルして下さい。

また、SSL証明書の失効と、新しい鍵ペアを用いて発行した新証明書との置換も必要です。脆弱性の影響を受ける OpenSSL のバージョンで証明書が発行されている場合、秘密鍵が漏えいする可能性があります。どの証明書が影響を受けるかを知る手段がないため、新しい鍵ペアを生成し、SSL証明書を発行し直す必要があります。秘密鍵を交換することが目的ですので、証明書の再発行の際には、本脆弱性対応以前の鍵ペアから生成した CSR を使いまわさないように十分に留意してください。

対策 3: ユーザー側はパスワードを変更

http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1399

この脆弱性の重大性は見過ごせません。自分のデータを保護するためには、HeartbleedによってID、パスワードなどの認証情報が漏えいしたとみなして、パスワードを変更する必要があります。最初にする必要があるのは、YahooやPayPalなどのオンラインサービスがHeartbleedの脆弱性に対処するためにサーバーを更新したかどうかを確認することです。この確認が済むまでは、パスワードを変更しないでください。

パスワードマネージャーを使用します。 パスワードマネージャーは、便利なツールというよりも、セキュリティツールとなっています。朝、出かけるときに玄関に鍵をかけたかどうかを思い出すだけでも容易ではありませんので、サイトごとに異なるパスワードを記憶するのは、ほとんど不可能です。パスワードマネージャーは、ユーザーの代わりに記憶してくれます。また、キーストロークを記録してパスワードを盗む有害ソフトウェアからユーザーを保護します。

Here are some tips for changing your password: Create unique passwords for every site you use. Every password you use should have a minimum of eight characters containing letters, numbers and symbols. Each site should have its own unique password. Try not to duplicate passwords on multiple sites. This is the bare minimum. Use a password manager. Using a password manager is becoming less a matter of convenience and more a matter of security. It’s difficult enough to remember if you locked your door this morning. Remembering unique passwords for every site is nearly impossible. Password managers can do this for you. Additionally, they can protect you from malicious software that records your keystrokes and, by extension, your password. Enable two-factor authentication. Two-factor authentication is a security technique that requires you to have something you know, like your password, and something you possess, like your phone. Not all websites have this security technique in place, but if they do, you should enable it. It’s an effective way of protecting yourself from being hacked.

利用している web サイトのパスワードすべてを手動で変更しなければならないとなるとたいへん。パスワードマネージャに change all passwords というようなコマンドをつけてほしい。で、パスワードはすべて自動合成してほしい。こういう場合に change all passwards コマンド一発で済むでしょ。パスワードジェネレータとパスワードマネージャの使用を前提にすればパスワードの桁数は32でも64でも可能ですから。

Using a password manager is becoming less a matter of convenience and more a matter of security.

立ち上がれ http://openopenssl.org/

OpenBSD が OpenSSL の大掃除に着手、「OpenOpenSSL」サイトも立ち上がる | スラッシュドット

topic: macosx
first posted: 2014-04-12 17:54:42
last modified: 2014-04-18 15:26:22