2か月後ハートブリード、300,000 の Web サーバーが依然として脆弱です。OpenSSL の脆弱性。
これは、次のセキュリティ研究者による最新レポートによると、正誤表のセキュリティ。 Errataは土曜日、ウェブ上のサーバーのポート443をスキャンして脆弱性を探しただけで見つかった最新の調査結果をブログに公開した。
関連項目:
同社は、依然としてバグの影響を受けやすいサーバーの 309,197 件の結果を返しました。 Errata が同じポート スキャンを実行したとき5月に、318,239 台の脆弱なサーバーが戻ってきました。つまり、過去 30 日間でパッチが適用されたサーバーは 9,000 台のみです。 Errata の Rob Graham 氏が指摘するように、「これは人々がパッチを当てようとすることさえやめてしまったことを示しています」。
ご記憶のとおり、Heartbleed は、Web の大部分を脆弱にした大規模な OpenSSL エクスプロイトの名前です。 Heartbleed の仕組みにより、攻撃者は、ユーザー名、パスワード、および暗号化する必要があるその他のデータへのアクセスを解除する暗号化キーを含む重要な情報を脆弱なサーバーから取得する可能性があります。このバグは4月に発見されるまで、2年近く休眠状態にあった。
Graham 氏は、古いシステムが置き換えられるにつれて、今後 10 年間で脆弱なサーバーが徐々に減少すると予想していると書いています。それでも同氏は、10年後には「重要なシステムを含む」数千のシステムが脆弱であることが判明すると予想している。
Graham 氏のポート スキャン プロセスは完全に正確ではなく、彼がスキャンしたものよりも多くのサーバーが脆弱になる可能性があります。脆弱なままの各サーバーの重要性を評価することも困難です。 Heartbleed が公になってから 10 日以内に、上位 1,000 サイトWeb のパッチが適切に適用されています。
この勢いは主に次の月にも続き、より多くの Web サイト所有者がソフトウェアを更新し、セキュリティ証明書を再発行しました。
それでも、パッチが決して当てられないシステムもあります。これは Web サーバーだけでなく、未知の数の組み込みデバイスにも当てはまります。一部の Android スマートフォン-- Heartbleed に対して脆弱であり、ほぼ確実にパッチが適用されることはありません。
それで、心配する必要がありますか?今後 6 ~ 12 か月間、Web ブラウザに Heartbleed 検出プラグインをインストールすることをお勧めします (これですパッチが適用されていない重要な情報 (銀行データなど) を必要とするサーバーに遭遇した場合に備えて。
しかし現実には、Heartbleed はパッチが適用されていないことが多い多くの脆弱性の 1 つにすぎません。偏執的になりたい場合は、Windows XP の一部のバージョンをまだ実行しているコンピュータ システム、ATM、および支払い端末の数を考えてください。 e コマースの側面でも、Heartbleed 用のパッチが適用されていても、サイトの他のセキュリティ ソフトウェアが最新であるとは限りません。
消費者ができる最善のことは、自分がコントロールできることを意識することです。つまり、一意のパスワード、利用可能な場合は 2 要素認証、できれば安全なパスワード マネージャーを使用することを意味します。
