2014年4月8日にOpenSSLの脆弱性が発覚しました。
JPCERT 注意喚起
この脆弱性では、クラッカーは相手のメモリ内容を読み取ることができ、SSL秘密鍵や直前の内容を読めてしまうという問題が発生します。
したがい、かなり危機的な脆弱性と言わざるを得ません。
対象は、次のバージョンの OpenSSL です。
- OpenSSL 1.0.1 から 1.0.1f
- OpenSSL 1.0.2-beta から 1.0.2-beta1
なお、上記以外のバージョンは対象外です。
対策は、次の修正バージョンを適用することです。
- OpenSSL 1.0.1g
- OpenSSL 1.0.2-beta2 (予定)
それ以外の対処は JPCERT 注意喚起 を参照下さい。
[ 2014-04-24 追記 ]
ネットエージェント(株)様ご提供の Heartbleed脆弱性検査サイト
よりこの脆弱性の検査が行えます。
OpenSSLご利用サイトのURLを入力して検査して下さい。