通常取引のある https 関係を Heartbleed test で調べてみた。
All good, yourCheck.domain seems fixed or unaffected!
と出れば,一応OKという扱いで。 100% の保証はないし,対処がいつだったかもわからないし,証明書関係を作り直しているかどうかもわからないし。と,いろいろ問題はあるが,本日,私が使った銀行,電話,ホスティング関係は,みんな「All good, yourCheck.domain seems fixed or unaffected!」が出た。とはいっても,いつから fixed or unaffected なのかはわからないから,心配は尽きない。 SSL のバージョンが古ければ逆に大丈夫なのだが,その辺は,一般人には調べようがない。
それから, FFFTP についてなのだが,川本優さん(@s_kawamoto)のツイートで「脆弱性対応済みのFFFTP新バージョンを公開するにはまだしばらく時間がかかるため、可能であれば直ちにFileZilla(OpenSSLではなくGnuTLSによる実装)への移行をおすすめします」ということだったが,一応,暫定版は出ている。
ものすごく,基本的なことがわかっていない自分に驚きなんだが, SSL 証明書の中には,もちろん, OpenSSL ベースじゃないものもあるわけで,どこの SSL 証明書が何を使っているかというのは,一般消費者側で確認可能なのだろうか。
追記(4/11):
考えたら,証明書の期限は簡単に調べられるよね。現時点のわが取引先銀行,電話,ホスティング関係の期限をチェックしてみた。
銀行 2013/06/04 – 2014/08/02
電話 2013/11/12 – 2015/12/04
ホスティング 2013/04/05 – 2016/06/04
で,これは,どうなんだろう。正式の認証局が再発行する場合,新しくなっても期限は変わらないものですか。それとも,期限が上記の場合は,古いままだと思っていいんですかね。常識的に考えると,発行日は新しくなるべきだと思うんですが。もっとも,もともと OpenSSL での実装でない可能性も大きいわけだが……
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見されるの皆の書き込みが,興味深い。クライアントの PC の ssleay32.dll も関係あるんだろうか。
追記2(4/16):
脆弱性確認サイトのメッセージだけれども, heartbleed test のほうは,こんな感じ。
—– NG の場合 —————————————————————————————-
Looking for TLS extensions on https://YourCheckSite
ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Server is vulnerable to all attacks tested, please upgrade software ASAP.
----- Heartbeat の有効/無効の確認後, CVE-2014-0160 に対する脆弱性の判定,警告。-----
----- OK の場合 1 --------------------------------------------------------------------------------------
Looking for TLS extensions on https://YourCheckSite
TLS extension 15 (heartbeat) seems disabled, so your server is probably unaffected.
----- Heartbeat の機能が無効なので,多分,大丈夫だろうという判定。---------------------
----- OK の場合 2 --------------------------------------------------------------------------------------
Looking for TLS extensions on https://YourCheckSite
ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.
Checking your certificate
Certificate has been reissued since the 0day. Good. <-- Have you changed the passwords?
----- Heartbeat は有効だが,パッチ済の判定。証明書も再発行済,パスワードは変えた?の確認。----
でもって, Heartbleed test のほうは,こんな感じ。
—– NG の場合—————————————————————————————–
YourCheckSite IS VULNERABLE.
Here is some data we pulled from the server memory:
(we put YELLOW SUBMARINE there, and it should not have come back)
([]uint8) {
00000000 02 00 51 68 65 61 72 74 62 6C 65 65 64 2E 66 69 |..Qheartbleed.fi|
00000010 6C 69 70 70 6F 2E 69 6F 20 59 45 4C 4C 4F 57 20 |lippo.io YELLOW |
00000020 53 55 42 4D 41 52 49 4E 45 20 59 6F 75 72 43 68 |SUBMARINE YourCh|
00000030 65 63 6B 53 69 74 65 3A 34 34 33 F7 96 BF F3 35 |eckSite:443....5|
00000040 87 38 54 6A 02 66 02 4E AF 02 B5 1A 32 A6 61 08 |.8Tj.f.N....2.a.|
00000050 2C CF 2E 0C 4C F3 B7 92 C0 86 E7 86 B0 94 88 A7 |,...L...........|
00000060 0A |.|
}
Please take immediate action!
—– 脆弱性あり。当該サーバメモリから filippo.io が置いたデータを引き出し可能。これは,まずい。—–
—– OK の場合 ————————————————————————————–
All good, YourCheckSite fixed or unaffected!
—– チェック結果は全部 OK だったので,多分,大丈夫だろうという判定。——————————————–
追記3(4/22):
昨日付で,「国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か」が出てた。三菱UFJニコス自体のニュースとしては,12日・18日の発表である。私のカードも関連があるので気になったのだが,今のところは,大丈夫そう。
今回問題になっているheartbeat機能によるやり取りは、通常、Webサーバーのログには残らない。このため、悪用した攻撃を受けているかどうかが分からないことが、今回の脆弱性の特徴の一つ。三菱UFJニコスでは、今回の攻撃は「心臓出血」脆弱性を悪用したものであることを特定したとしているが、特定した方法についてはコメントできないとしている。
ITpro の記事内に上記の引用の表現があるのだが,特定の手段があるなら,教えてほしいもんだよな。公表しても,一般ピーポーにはつかえない特別なシステムがいるのだろうか。または,知られたらすぐに対策されちまうレベルの方法とか???
追記4(5/13):
まだまだ,後を引きそうだねぇ。セキュリティホールmemoさんも,昨日スマホに関しての追記を書かれていた。
The list of Android phones vulnerable to Heartbleed bug というのもあったんだが,日本語サイトでは,あまり一覧というのがない気がする。 GALAXY のサイトなんかでも,更新ファイルはあるがその辺の情報にはそれほど触れていない。更新開始日が,4/17とかになってるから間違いなく, HeartBleed 関連だと思うんだけどな。もっとも,スマホ利用の一般ユーザにとっては,スマホ本体にどれだけはっきり,この手の要アップデート情報が届くかのほうが,大事だろう。自分がいまだにスマホを使っていないので,その辺がどうなっているのか不明。身近の Amdroid 使いはあまり何も言っていないけどな。実際のとこ,どうなんだろう。
Google App としては,だいぶ前から, Heartbleed Detector があるが,本人が調べる気になるかどうかが問題だからなぁ。
再度, PC でのチェックサイトを掲載しておく。
Heartbleed test
heartbleed test
Trend Micro Heartbleed Detector (無くなっちゃったみたいだ)
「CVE-2014-0160関連で調べてみた。」への4件の返信
おはようございます。
うちはopensslはつかってないので特に何もなしです。
くりくりさん,おはようございます。
あちこち読み漁っていると,自分がいかに, SSL についてわかっていないかということがよくわかって,ドンドン情けなくなってきます。
まぁ,勉強は三歩前進二歩後退ですから,焦ってもしょうがないですが。
>あちこち読み漁っていると,自分がいかに, SSL についてわかっていないかということがよくわかって,ドンドン情けなくなってきます。
あんまりおきになさらず。
この機会にお勉強できたから、よろしいのでは?
次ですよ次!!
まぁ,いろいろわからないことがあるのは,当たり前で仕方ないことなのですが,今回,一番心配なのは,日常生活にどのくらい影響があるかということなのです。
実際の話,自鯖に関しては,対応済みなわけで,それなりに大丈夫だろうと思うのですが,一般の会社というものは,どのくらいOpenSSLでの実装を使っているものなのですか。
Googleから下記が出ていますよね。
http://googleonlinesecurity.blogspot.jp/2014/04/google-services-updated-to-address.html
ということは,一般の会社でも, OpenSSL での実装が,結構あるのじゃないかと思いまして。でもって,今回の脆弱性がらみの攻撃で一番の問題は,痕跡が残らないらしいという点なんですよね。
上記の銀行などのサーバが現在は安全になっているとしても, SSL を何で実装しているかもわからないので,上記期限の証明書のままだと,キーを抜かれてそのままになってるという可能性もあるわけでして。
取りこし苦労に終われば,いいんですが。知識がないもので,安心が得られない状態です。