Heartbleedバグ
別名:ハートブリード
【英】Heartbleed, Heartbleed bug
Heartbleedバグとは、暗号化通信を実現するオープンソースソフトウェア「OpenSSL」のソフトウェアライブラリ上で発見された、セキュリティ上の重大な脆弱性の通称である。2012年に公開されたバージョン(1.0.1)で混入したとされる。2014年4月になって初めてバグの存在が発覚し公になった。
HeartbleedバグはOpenSSLが死活監視を行うハートビートに潜むバグに起因しており、悪用すればシステムのシステムのメモリ上の情報を任意に閲覧することができてしまうとされる。OpenSSLはOSSとして広く利用されている上に、重大な機密情報や個人情報が、痕跡を残さない形で窃取できてしまうため、Heartbleedバグの発見の公表は極めて重大なニュースとして報じられた。
ちなみに「bleed」には「出血」「出血死」といった意味があり、Heartbleedバグは「心臓からの出血(による死)」という程の意味となる。「心臓出血」と訳されることが多い。
参照リンク
The Heartbleed Bug - (heartbleed.com/Codenomicon)
TLS heartbeat read overrun - (OpenSSL Security Advisory [07 Apr 2014])
OpenSSLの脆弱性「Heartbleed」について - (サイバートラストによる概説)
ハートブリード
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2024/04/16 08:54 UTC 版)
ハートブリード(英語: Heartbleed)とは、2014年4月に発覚したオープンソース暗号ライブラリ「OpenSSL」のソフトウェア・バグのことである。当時、信頼された認証局から証明書が発行されているインターネット上のWebサーバの約17%(約50万台)で、この脆弱性が存在するHeartbeat拡張が有効になっており、サーバーの秘密鍵や利用者のセッション・クッキーやパスワードを盗み出すことが出来る可能性があった[3][4][5][6][7]。
- ^ McKenzie, Patrick (2014年4月9日). “What Heartbleed Can Teach The OSS Community About Marketing”. 2014年4月10日閲覧。
- ^ Biggs, John (2014年4月9日). “Heartbleed, The First Security Bug With A Cool Logo”. TechCrunch. 2014年4月10日閲覧。
- ^ Mutton, Paul (2014年4月8日). “Half a million widely trusted websites vulnerable to Heartbleed bug”. Netcraft Ltd.. 2014年4月8日閲覧。
- ^ Perlroth, Nicole; Hardy, Quentin (2014年4月11日). “Heartbleed Flaw Could Reach to Digital Devices, Experts Say”. New York Times 2014年4月11日閲覧。
- ^ Chen, Brian X. (2014年4月9日). “Q. and A. on Heartbleed: A Flaw Missed by the Masses”. New York Times 2014年4月10日閲覧。
- ^ Wood, Molly (2014年4月10日). “Flaw Calls for Altering Passwords, Experts Say”. New York Times 2014年4月10日閲覧。
- ^ Manjoo, Farhad (2014年4月10日). “Users’ Stark Reminder: As Web Grows, It Grows Less Secure”. New York Times 2014年4月10日閲覧。
- ^ “Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately”. Sydney Morning Herald (2014年). 2014年4月13日閲覧。
- ^ “Programmer Behind Heartbleed Bug Speaks Out”. AOL on Tech (2014年4月11日). 2014年4月15日閲覧。
- ^ “#2658: [PATCH Add TLS/DTLS Heartbeats]”. OpenSSL (2011年). 2014年4月13日閲覧。
- ^ a b c Codenomicon Ltd (2014年4月8日). “Heartbleed Bug”. 2014年4月8日閲覧。
- ^ Goodin, Dan (2014年4月8日). “Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping”. Ars Technica. 2014年4月8日閲覧。
- ^ Seggelmann, R. et al. (2012年2月). “Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension”. RFC 6520. Internet Engineering Task Force (IETF). 2014年4月8日閲覧。
- ^ a b c OpenSSL.org (2014年4月7日). “OpenSSL Security Advisory [07 Apr 2014]”. 2014年4月9日閲覧。
- ^ Troy Hunt (2014年4月9日). “Everything you need to know about the Heartbleed SSL bug”. 2014年4月10日閲覧。
- ^ “CVE - CVE-2014-0160”. Cve.mitre.org. 2014年4月10日閲覧。
- ^ “"Why is it called the ‘Heartbleed Bug’?"”. 2014年4月13日閲覧。
- ^ Mehta, Neel. “Don't forget to patch DTLS”. Twitter. 2014年4月11日閲覧。
- ^ Gallagher, Sean (2014年4月9日). “Heartbleed vulnerability may have been exploited months before patch”. Ars Technica. 2014年4月10日閲覧。
- ^ "No, we weren't scanning for hearbleed before April 7"
- ^ "Were Intelligence Agencies Using Heartbleed in November 2013?", April 10, 2014, Peter Eckersley, EFF.org
- ^ Riley, Michael. “NSA Said to Exploit Heartbleed Bug for Intelligence for Years”. Bloomberg. 2014年4月11日閲覧。
- ^ “Report: NSA exploited Heartbleed for years”. Usatoday.com. 2014年4月11日閲覧。
- ^ “NSA exploited Heartbleed bug for two years to gather intelligence, sources say | Financial Post”. Business.financialpost.com. 2014年4月11日閲覧。
- ^ “Statement on Bloomberg News story that NSA knew about the “Heartbleed bug” flaw and regularly used it to gather critical intelligence”. NSA (2014年4月11日). 2014年4月13日閲覧。
- ^ a b “OpenSSL 1.0.1 Branch Release notes”. OpenSSL. 2014年4月14日閲覧。
- ^ “CloudFlare – Update on the Heartbleed OpenSSL Vulnerability”. 2014年4月27日閲覧。
- ^ “Mark J Cox – #Heartbleed”. 2014年4月12日閲覧。
- ^ Grossmeier, Greg (2014年4月8日). “[Wikitech-l Fwd: Security precaution – Resetting all user sessions today]”. Wikimedia Foundation. 2014年4月9日閲覧。
- ^ a b “Statement by the Commissioner of the Canada Revenue Agency on the Heartbleed bug”. Canada Revenue Agency (2014年4月14日). 2014年4月26日閲覧。
- ^ “OpenSSL の脆弱性を標的としたアクセスの増加について”. 警察庁セキュリティポータルサイト@police (2014年4月10日). 2014年4月26日閲覧。
- ^ “弊社会員専用WEBサービスへの不正アクセスにより一部のお客さま情報が不正閲覧された件”. 三菱UFJニコス (2014年4月18日). 2014年4月26日閲覧。
- ^ “「Heartbleed」悪用で初の逮捕者:カナダ当局発表”. wired.jp (2014年4月17日). 2014年4月26日閲覧。
- ^ “Heartbleed Bug Hacker Charged by RCMP”. 王立カナダ騎馬警察 (2014年4月16日). 2014年4月27日閲覧。
- ^ “Amazon Web Services、Cisco、Dell、Facebook、富士通、Google、IBM、Intel、Microsoft、NetApp、Rackspace、VMware、および The Linux Foundation がクリティカルなオープン ソース プロジェクトを支援する新しい取り組み”. LINUX FOUNDATION (2014年4月25日). 2014年4月27日閲覧。
- 1 ハートブリードとは
- 2 ハートブリードの概要
- 3 外部リンク
ハートブリード
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/09 06:55 UTC 版)
「Transport Layer Security」の記事における「ハートブリード」の解説
詳細は「ハートブリード」を参照 ハートブリード(英: Heartbleed)は、2014年に発覚したOpenSSLライブラリのバージョン1.0.1から1.0.1fの間で発見された深刻なセキュリティ脆弱性である。この脆弱性を利用することで、TLS/SSLによって保護されているはずの情報を盗むことが可能である。 このバグでは、インターネット上の誰もが、脆弱性のあるOpenSSLを利用しているシステムのメモリにアクセスすることが可能となり、サービスプロバイダの認証やデータの暗号化に用いられている秘密鍵、ユーザのアカウントおよびパスワード、実際にやり取りされたデータなどを取得できる。これにより、メッセンジャーサービス、電子メールの盗聴、データの盗難、なりすましなどが可能となる。
※この「ハートブリード」の解説は、「Transport Layer Security」の解説の一部です。
「ハートブリード」を含む「Transport Layer Security」の記事については、「Transport Layer Security」の概要を参照ください。
- ハートブリードのページへのリンク