いくつかのウェブサイトが稼働中SSL暗号化月曜日、Airbnb、Pinterest、USMagazine.com、NASA、クリエイティブ コモンズなどの企業が、Heartbleed と呼ばれる重大なセキュリティ バグにさらされました。
このバグは、Google のセキュリティ チームのメンバーとソフトウェア セキュリティ会社によって発見されたと伝えられています。コードノミコン。
関連項目:
他の多くのウェブサイトによると、リストGitHub 上で巡回しているユーザーも、このバグに対して脆弱である可能性があります。
このバグは、Apache および Nginx ソフトウェアを実行している Web サーバーに影響を及ぼし、ユーザーが Web サイト、アプリケーション、Web 電子メール、さらにはインスタント メッセージに入力した個人情報が漏洩する可能性があります。
また、ほとんどのセキュリティ専門家は、可能な限り SSL セキュリティ暗号化を提供する Web サイトやサービスを常に使用するようアドバイスしていますが、Heartbleed のバグにより、悪意のあるオペレーターがこのセキュリティ層を破ってパスワードを取得したり、認証 Cookie を偽造してその他の個人情報を取得したりする可能性があります。
あセキュリティパッチバグは月曜日に発表された, しかし、多くのウェブサイトはまだ追い上げを続けています。だからこそ、Tor プロジェクトのような Web サイトは、やや冗談めいたやり方で、次のことをアドバイスしているだけです。インターネットから離れるセキュリティを本当に重視しているのであれば、今週はどうでしょうか。
我々は降ろしたhttps://t.co/UpoMbXlTb6その間、インターネット全体の Heartbleed 問題の修正を適用します。お待たせいたしました!— Oculus (@oculus)2014 年 4 月 8 日
Heartbleed を修正するには: 1. OpenSSL をアップグレードします。 2. すべての SSL 証明書を取り消します。 3. すべての SSL 秘密キーを再生成します。 4. SSL ベンダーから新しい証明書を取得します — Jamieson Becker (@JamiesonBecker)2014 年 4 月 8 日
私たちのチームは問題を修正しました#ハートブリード当社の主要なプロパティ全体に脆弱性があり、現在プラットフォーム全体に修正を実装しています。 — Yahoo Inc. (@YahooInc)2014 年 4 月 8 日
このバグに対処するために作成されたサイト、Heartbleed ホームページのメッセージの 1 つは次のように述べています。
[Heartbleed バグ] は、サービス プロバイダーを識別し、トラフィック、ユーザーの名前とパスワード、および実際のコンテンツを暗号化するために使用される秘密キーを侵害します。OpenSSL の脆弱なバージョンが使用されている限り、悪用される可能性があります。 。
これまでのところ、OpenSSL ソフトウェア セキュリティ アップデートが確認されているサービスと Web サイトには次のようなものがあります。ワードプレス、アマゾン ウェブ サービス、アカマイそしてその他。
GitHub のリストでは、Heartbleed バグに対して「脆弱ではない」とみなされる Web サイトには、Google、FourSquare、Evernote などが含まれています。
という別の役立つサイトハートブリードチェッカーLastPass によって開始されたこのツールを使用すると、Web サイトの URL を入力してバグに対する脆弱性を確認できます。
自分の身を守るためにできる3つのこと
セキュリティ アップデートに関して、通常使用している安全な Web サイトまたはサービスからの公式発表を待ちます。
サイトまたはサービスにセキュリティ更新プログラムがインストールされていることを確認したら、パスワードを変更します。
少なくとも今後 1 週間は、機密性の高いオンライン アカウント (銀行、ウェブメール) に不審なアクティビティがないか監視してください。
それまでの間、Web サイトがバグを修正するために OpenSSL の最新バージョンをインストールしている間、可能な限り安全を確保するために、お気に入りの Web サイトやサービスの更新が確認されるのを待ってからパスワードを変更することをお勧めします。
[wp_scm_comment]
ボーナス: ハートブリードバグとは何ですか?
