OpenSSLに存在した脆弱性の一つ。Heartbleed脆弱性。
MITRE社の脆弱性情報データベースCommon Vulnerabilities and Exposures(CVE)に登録されている脆弱性の一つ。
これは、OpenSSLの欠陥により、本来秘匿すべき情報(暗号通信の内容、秘密鍵など)が漏洩する可能性がある、極めて重大なセキュリティホールである。
1.0.1gおよび1.0.2-beta2にて修正された。
このバグは気付かれず、または気が付かれてはいたがそのまま放置されていたようだが、2年以上経ってから修正された。
この問題が報告されてからネット界隈はパニックに陥ったが、比較的簡単な対応で修正できたため、パニックは数日間で収まった。なお、この2年以上の間にどれだけの情報が漏洩していたのかは定かではない。
例えば、アメリカの通信社Bloombergは、米国家安全保障局(NSA)は少なくとも2年前からHeartbleedの脆弱性を認識しており情報収集に利用してきた、と報道して大きな騒ぎになったが、NSAはこれを否定する声明文を発表している。
OpenSSLはAndroidでも使われているが、Androidの場合はAndroid 4.1.1のみが影響するとしている(端末メーカーが不具合のあるOpenSSLバージョンに置き換えていない場合に限る)。
境界チェック処理を追加した。短すぎる場合と、長すぎる場合(今回の問題)とで、チェックをするようにしている。修正は「Add heartbeat extension bounds check.
」と題されている。そもそも無かったbounds checkを追加した、ということが良く分かる題名である。
RFC 6520のセクション4において、「受信HeartbeatMessageのpayload_lengthが大きすぎる場合は、受信HeartbeatMessageは黙って破棄しなければならない(MUST)」とあり、今回の修正では、RFC通りに黙って破棄するように修正されている。
RFC通りに実装されていなかったことが問題となったもようである。
このバグは世界が震撼させたが、頻発するOpenSSLの不具合調査をしたThe OpenBSD Projectは、抜本的な改善が必須との結論に至った。
OpenSSLでの抜本的な修正は困難だったため、ここからLibreSSLとして分岐され、抜本的な修正と改良が開始された。
この不具合を契機として、今後の主流はOpenSSLからLibreSSLへと移っていくものと予想される。
コメントなどを投稿するフォームは、日本語対応時のみ表示されます
通信用語の基礎知識検索システム WDIC Explorer Version 7.04a (27-May-2022)
OpenSSL
セキュリティホール
