影響を受けたウェブサイトやソフトウェアの対応については、piyologさんの以下の記事に詳しいです。
この記事では、それ以外の動きについてまとめていきます。先週の2つの記事と違い、あくまで個人的興味によるものです。
日本政府およびセキュリティ関連組織による情報公開
- JPCERT/CC
- 2014-04-08 JPCERT-AT-2014-0013 OpenSSL の脆弱性に関する注意喚起
- IPA
- 2014-04-08 OpenSSL の脆弱性対策について(CVE-2014-0160)
- 2014-04-16 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について
- 総務省
- 2014-04-15 OpenSSLの脆弱性について|脆弱性の注意喚起|企業・組織の対策|国民のための情報セキュリティサイト
【おしらせ】 国民のための情報セキュリティサイトでは、OpenSSLの脆弱性に関する注意喚起を掲載しました。#総務省 #情報セキュリティ #SSLURL
2014-04-16 08:18:54 via web
- JVN (脆弱性対策情報ポータルサイト)
- 2014-04-08 JVNVU#94401838: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
- 2014-04-11 CVSS分析値を更新(機密性: 部分的、完全性: なしに変更)
- 2014-04-08 JVNVU#94401838: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
- JVN iPedia
- 警察庁 @police
- 2014-04-10 OpenSSL の脆弱性を標的としたアクセスの増加について
- 2014-04-16 (NHK報道) 暗号化ソフト欠陥狙う攻撃 4万件超
これまでに4万件以上確認され、今月12日の午前3時からは1時間で最も多い5088件が検知
- 日本シーサート協議会 (日本コンピュータセキュリティインシデント対応チーム協議会)
- 2014-04-15 OpenSSL 情報漏えいを許してしまう脆弱性 〜Heartbleed 問題〜 について
- CELLOS 暗号プロトコル評価技術コンソーシアム(Cryptographic protocol Evaluation toward Long-Lived Outstanding Security Consortium)
国外の動き
ベンダー等による情報公開
- シマンテック
- Heartbleed: OpenSSL 脆弱性に関するシマンテックからのお知らせ
- Heartbleed Vulnerability | Symantec
- 2014-04-15 Heartbleed - 調査報告 [2014-04-12:orig]
- 2014-04-16 Heartbleed〜OpenSSLの脆弱性〜
- 2014-04-16 インターネットセキュリティ脅威レポート19号、2013年版の発表会にて発表あり
- トレンドマイクロ
- 米国サイトHeartbleedまとめ
- 2014-04-11 脆弱性「Heartbleed」、トップ100万ドメインから選別されたTLDの5%に影響 [orig]
- 2014-04-11 「OpenSSL」に深刻な脆弱性「Heartbleed」が発覚、拡張機能「Heartbeat」に存在 [orig]
- 2014-04-14 脆弱性「Heartbleed」、モバイルアプリにも影響 [orig]
- 2014-04-14 Heartbleed – One Week In
- 2014-04-15 Bundled OpenSSL Library Also Makes Apps and Android 4.1.1 Vulnerable to Heartbleed [ja]
- What You Need To Know About Heartbleed アニメーション解説secreencast
- 2014-04-17 OpenSSL の HeartBleed脆弱性に対し、我々が注意すべきこととは?
- IIJ
- 2014-04-16 IIJ Security Diary: Heartbleed bug によるサーバ設定の状況変化
- サーバ証明書再発行の状況および、Heartbeat対応状況の変化を掲載
- 2014-04-16 IIJ Security Diary: Heartbleed bug による秘密鍵漏洩の現実性について
- 暗号学の観点も交えて、秘密鍵奪取の現実性について議論
- 2014-04-16 IIJ Security Diary: Heartbleed bug によるサーバ設定の状況変化
- IBM
- 2014-04-15 2014年4月に公開されたOpenSSLの脆弱性(CVE-2014-0160)に対する攻撃を確認
- Tokyo SOCでの検知結果を掲載
- 2014-04-15 2014年4月に公開されたOpenSSLの脆弱性(CVE-2014-0160)に対する攻撃を確認
- DeNA
- Netcraft
- 2014-04-08 Half a million widely trusted websites vulnerable to Heartbleed bug | Netcraft 影響状況
- 2014-04-11 Heartbleed certificate revocation tsunami yet to arrive | Netcraft
- 証明書再発行のグラフ。
- 2014-04-15 Heartbleed: Revoke! The time is nigh! | Netcraft
- 証明書の失効状況グラフ。今回の件が起きる前から普段から取ってるのかさすがNetcraft。
今回の脆弱性に関する考察と議論
- OpenSSLのメモリ管理(独自freelist管理の害悪)に関する考察
- 2014-04-08 heartbleed vs malloc.conf
- 2014-04-10 analysis of openssl freelist reuse
- 2014-04-13 野良犬日記(2014-04-13) 日本語訳
代替策に向けた議論
- OpenBSDプロジェクトによるOpenSSLのfork
- libssl commitlog
- src/lib/libssl/src/crypto/crypto.h - view - 1.19
remove FIPS mode support. people who require FIPS can buy something that meets their needs, but dumping it in here only penalizes the rest of us.
意訳: FIPSなんて金持ちの道楽知らんボケ
- src/lib/libssl/src/crypto/crypto.h - view - 1.19
- OpenBSD から見て Heartbleed は氷山の一角に過ぎない
- OpenBSD Team Cleaning Up OpenSSL - Slashdot
- OpenBSD has started a massive strip-down and cleanup of OpenSSL
- 思えば、OpenSSHもSSH.com(のオープンソース版)からOpenBSDプロジェクト(というかTheo氏)がforkしたものでしたね。
- libssl commitlog
- 既にあるOpenSSL以外の実装
- Comparison of TLS implementations
WikipediaにあるTLS実装の比較 - Compare SSL libraries cURL開発者によるTLS実装の比較
- Comparison of TLS implementations
より安全なcipher suiteの検討
これまでのHeartbleed以外のSSL実装のバグ
- Apple Secure Transport
- GnuTLS
- [sec][obsd]コーディングスタイルと TLS とエラーと私 - 野良犬日記(2014-03-06)
皆さんご存じのとおり、トリプル握手は有害と思われ。そこにはこんな一文も: 「主要な TLS 実装はどれも素数判定をしていない。」 (訳注: TLS のリジュームと再ネゴの両方が可能な善良サーバに対して、同じクライアント証明書を受け取ることのある悪サーバが MITM できる。DH の場合、pre-master secret を制御するために素数どころか偶数を使う exploit が可能で、たいていバレない)
- [sec][obsd]コーディングスタイルと TLS とエラーと私 - 野良犬日記(2014-03-06)