OpenSSLのHeartBeatでHeartBleedなセキュリティホール

先週発見されたOpenSSLのHeartBeat拡張の実装に見つかったセキュリティホールの影響範囲が非常に広く、現在対応中の方もいらっしゃるかもしれません。そんな記事へのリンクをちょっとまとめてみました:

IT技術者ではない方は最初のCNN.co.jpの記事をご覧になるとわかりやすいかと思います。この記事の2ページ目から少し引用します:

このバグが特に問題なのは、単純な解決策がないことだ。危険にさらされたサイトと、そのサイトを訪れたことがあるユーザーの双方が対策を講じる必要がある。

このように、セキュリティホールをふさぐ作業のほかに、そのサイトのサービスを使用していた利用者側での対応も必要となるのが今回の脆弱性です。サイト側でセキュリティホールに対する修正対応が終わったあとに、利用者側では必要に応じてパスワードなどの変更などを行う必要があります。

今回の問題はサーバー側で使用しているソフトウェアの種類とバージョンによって異なる上、内部の構造や設定にも影響を受けるため、パスワードの変更が必要かどうかはそのサービスの運営元のアナウンスを確認することが必要です。また、運営元はこの件の情報公開を積極的に行うべきでしょう。

OpenSSHもOpenSSLを使用しているため、httpsを提供していないサイトでもOpenSSHを使用している場合には関係があることがあるので、確認を欠かさないようにしないといけません。