メインコンテンツにスキップ
ブログクラウドの概要Heartbleed OpenSSL 脆弱性

Heartbleed OpenSSL 脆弱性

2014年 4月 7日に、攻撃者が秘密キーやパスワードなどの機密情報をサーバーのメモリ内で表示できる脆弱性 (CVE-2014-0160、"Heartbleed"とも呼ばれます) がリリースされました。この問題の重大度を考慮して、Linode はお客様とその情報を潜在的な攻撃から安全に保つために必要な措置を講じています。

私は脆弱ですか?
Heartbleed は1年以上も野放しになっていたので、サーバーはしばらくの間危険にさらされていた可能性があります。この脆弱性により、悪意のあるアクティビティの痕跡を残さずに情報を抽出する可能性のある攻撃者にシステムが晒されます。

管理者がシステムの脆弱性をテストできるツールが公開されました。サイトに SSL 証明書がある場合は、 Heartbleed テスト ページに移動し、Web サイトの URL を入力して脆弱性テストを実行します。このツールのソースはGitHubにあります。合格スコアは、お使いのシステムが別の方法で脆弱ではないことを意味するものではありませんのでご注意ください。古いライブラリに対してコンパイルされたソフトウェアは再コンパイルする必要があります。

Linode は脆弱ですか?
この脆弱性が明らかになるとすぐに当社のセキュリティチームはインフラのすべてのアップグレードを完了しバグにパッチを適用しました。問題の性質上、システムの完全な監査を完了し、影響を受ける証明書を再生成する処理中です。

システムの保護
Linode はお客様がソフトウェア更新プログラムを実行し、脆弱なライブラリに対してコンパイルされたソフトウェアを再コンパイルすることを推奨します。現時点では、すべてのパッケージ ミラーが、この問題の修正プログラムを含むパッケージで更新されています。システムにパッチを適用し、SSL 証明書を再発行する方法の詳細については、Linode ライブラリの ガイド をご覧ください。。

 


コメント (10)

  1. Author Photo

    On the VMs, I assume that it is “impossible” for vulnerable tenant to affect his/her neighbor who is patched.

  2. Author Photo

    The question is _WAS_ linode infra vulnerable? Is there the chance that passwords have been stolen?

    If you were using an older version of openssl (CentOS 5 or even CentOS 6.4 or older) then you were never vulnerable.

    What linode servers were vulnerable, and over what time period?

  3. Author Photo

    Seems that all of your packages have not been updated, just specific packages for specific releases. If you’re not running one of those specific releases, you either have to upgrade your entire distribution or keep running vulnerable software.

  4. Author Photo

    @camper67 That is correct. In fact, this vulnerability cannot even leak data from other processes on the same machine.

  5. Author Photo

    Stephen, of course it was. Most of the internet was/is. It was introduced about 2 years ago, so potentially for that duration of time.

    Theoretically for most of the internet, including Linode, it is possible some sensitive information was leaked however since the exploit/PoC was only released yesterday (and immediately patched) I think the chance of that is very small.

  6. Author Photo

    Hey guys

    Can I assume we’ll see an update when the new certificates are deployed and the audit is complete? There’s no point changing passwords until then.

    cheers.

  7. Author Photo
    Ricardo N Feliciano

    J Irving,

    Everything is good. You can check the site referenced in the blog post against the Linode URLs and we pass:

    http://filippo.io/Heartbleed/#manager.linode.com
    http://filippo.io/Heartbleed/#blog.linode.com
    http://filippo.io/Heartbleed/#www.linode.com

  8. Author Photo

    Ricardo,

    I don’t think you’ve answered J Irving’s question. Tests like filippo.io/Heartbleed can tell us whether a vulnerable OpenSSL implementation is present at the time of the test.

    However, according to my understanding, the test can’t tell us whether the private key and certificate being used were issued *after* all services were updated to a non-vulnerable version.

    For that, we need an explicit statement from Linode.

    Cheers,
    Matthew

  9. Author Photo

    Anyone that continues to see use the same passwords after this terrible event that took years for the hosting community to find out. Is not thinking straight. If you have ever your credit card into an Open SSL encrypted gateway for typed in anything on what he felt was historically safe. you were wrong.

    Change your passwords ASAP

  10. Author Photo

    Matthew: The private key and certificate being used were created after all services were updated to non-vulnerable versions, and the old certificates have been revoked.

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。