カテゴリー
Vulnerability

CVE-2014-0160って?

投稿アップデート情報  追記3(4/16)

 CVE-2014-0160 ってことで,対処としては, secadv_20140407.txt ということらしいんだが, ApacheLounge 版の場合,もとが IPv6 Crypto apr-1.5.0 apr-util-1.5.3 apr-iconv-1.2.1 openssl-1.0.1f zlib-1.2.8 pcre-8.34 libxml2-2.9.1 lua-5.1.5 expat-2.1.0 になってるんでどうすりゃいいんだと思って, News & Hangout にお願いを書こうと思っていったら,もうあった。
     Critical Security Vulnerabilty: Upgrade to OpenSSL 1.0.1g

 すぐに,出るかな? openssl-1.0.1g のやつ。 The Heartbleed Bug を見ると,かなりヤバそうなんだが。パッチが出るまでの対処方法がわからないよぉ。

 チェットサイトが作られてた。 Heartbleed test
 同じくテストサイト。 heartbleed test

 当面,ポートを閉じておくことにした。うちの場合は,ユーザは私だけだから,私が不自由に耐えれば,無問題(爆)。@19:00

追記:
 「本家のお世話-#99。(CVE-2014-0160 に対処のため Apache のアップデート)」をやりやした(爆)。当然,ポートも元に戻したヨ。
 うちは,これでいいとして,「母さん、私達のあの証明書、どうするんでせうね?ええ、ずっと前からから世界中にばらまかれている、 SSL のあの証明書ですよ。」ナンチャッテ。とっても,心配。

 証明書自体は大丈夫なのかな?いまんとこ,情報は錯綜しているようだが……

追記2:
  The Heartbleed Bug を読み直してみた。やはり,証明書は作り直しておこう。

追記3(4/16):
 SSL Server Test というのもある。 CVE-2014-0160 だけではなく,証明書の全体的レベルを調べてくれる。このサイトは Heartbleed Bug への対応はできている。ただし,証明書の 0day 後の再発行はされていないようだ。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です