OpenSSL の新たな脆弱性が明らかに: 「中間者」攻撃に利用される可能性がある

OpenSSL の新たな脆弱性が明らかに: 「中間者」攻撃に利用される可能性がある

OpenSSL の新たな脆弱性が明らかに: 「中間者」攻撃に利用される可能性がある

北京時間6月6日朝のニュースによると、今週木曜日、OpenSSL Foundationは、10年前の脆弱性により、ハッカーがOpenSSLで暗号化されたトラフィックを使用して「中間者」攻撃を仕掛けられる可能性があるという警告を発した。

情報セキュリティの専門家は、OpenSSL 暗号化プロトコルの「Heartbleed」脆弱性を修正しようと引き続き取り組んでいます。 AVG Virus Labs によると、この脆弱性を持つ人気ドメインはまだ 12,000 あります。 OpenSSL Foundation が発表したニュースによると、ハッカーはこの新たな脆弱性を利用して暗号化されたトラフィックを傍受し、復号化してトラフィックの内容を読み取る可能性があるとのことです。

OpenSSL ユーザーには、新しいパッチをインストールし、OpenSSL ソフトウェアの最新バージョンにアップグレードすることをお勧めします。この脆弱性は、ソフトウェア会社Lepidumの日本人研究者菊地正志氏によって発見された。 「サーバーとクライアントの両方が脆弱な場合、攻撃者はハッキングして通信を偽装することができます」とLepidumのウェブサイトには記載されています。

サーバーが直接侵害される恐れがあった Heartbleed 脆弱性とは異なり、この新しい脆弱性では、通信する 2 台のコンピューターの間にハッカーが存在する必要があります。たとえば、空港の公共 WiFi のユーザーが標的になる可能性があります。

この脆弱性は、OpenSSL が 1998 年に初めてリリースされて以来存在しています。 「Heartbleed」脆弱性は、2011 年の新年に OpenSSL がアップグレードされたときに導入されました。

この脆弱性が 10 年以上も発見されなかったという事実は、OpenSSL 管理の欠陥を改めて浮き彫りにしています。 OpenSSL はオープン ソースなので、誰でも評価および更新できます。このため、OpenSSL は、単一の企業が開発した独自のコードよりも安全で信頼性が高いと考えられています。

しかし現実には、OpenSSL にはヨーロッパにフルタイムの開発者が 1 人、そして「コア」ボランティア プログラマーが 3 人いるだけで、その運営は年間 2,000 ドルの寄付金に依存している。ただし、OpenSSL は今でも世界中のほとんどの Web サイトのサーバーの暗号化に使用されており、Amazon や Cisco などの大手企業で広く使用されています。

Heartbleed の脆弱性が発見された後、Amazon、Cisco、Dell、Facebook、富士通、Google、IBM、Intel、Microsoft、NetApp、Rackspace、Qualcomm、VMware などの企業が、今後 3 年間にわたり、Core Infrastructure Initiative に年間 10 万ドルを投資することを約束しました。この新しいオープンソース プロジェクトは Linux Foundation が主導しており、OpenSSL などの主要なオープンソース インフラストラクチャをサポートするために使用されます。


元のタイトル: OpenSSL の新しい脆弱性が明らかに: 「中間者」攻撃に利用される可能性がある

キーワード:

<<:  旅行ガイドコミュニティは変化している: UGCから構造化された取引へ

>>:  マイクロソフト、Windows 8のセキュリティに関する質問に回答: 国家安全保障上の理由から米国政府に情報を漏らしたことは一度もない

推薦する

日本でおすすめの安いVPSは何ですか?日本VPS、日本クラウドサーバー、ブティック推奨

この記事では、日本回線VPSと日本データセンターVPSを紹介し、特に日本の格安VPSとPayPalや...

次世代のOracle Autonomous Data Warehouseビジネスデータプラットフォームが革新的な機能を導入

企業に使いやすく、コード不要のツールを提供します。従来はデータ エンジニアやデータ サイエンティスト...

エッジプログラミングを成功させるための6つの教訓

​翻訳者 |ブガッティ校正:孫淑娟多くの組織が、レイテンシ、柔軟性、コスト、パフォーマンスの面でエッ...

#blackfriday# vpsinusa: 年間 25 ドル、4G メモリ/1 コア/20g SSD/2T トラフィック/ロサンゼルス、「無料 IP 変更」

vps-in-usa は、米国西海岸ロサンゼルスで OpenVZ と KVM 仮想化に基づく VPS...

Oracle SaaSは中国市場をリードし続け、第1位に

「エコシステム全体の強化と新しいエクスペリエンスのインテリジェントな構築」をテーマにした 2017 ...

魏無慧:どのようなコミュニティが最も失敗する可能性が高いのでしょうか?

私は厦門での会議で Keso と出会い、彼に質問しました。「コミュニティのスタイルは運営者によって決...

コンテンツ更新に関する誤解の例

Baidu がウェブサイトのコンテンツの取り締まりを開始して以来、コンテンツの更新は多くのウェブマス...

ライブストリーミング販売で損失が出たのはなぜですか?

年初から、セレブビジネスやライブ配信の人気が続いています。ライブ電子商取引の取引規模と参加者数は過去...

Techo Hubテクノロジーツアー北京駅がオープン、クラウド上の新しい「ビジュアルワールド」を探索

[51CTO.comからのオリジナル記事] Tencent Cloudは開発者を非常に重視しています...

ほとんどのプログラマーはロードバランサー LVS が何であるか知りません。

1. Linux仮想サーバープロジェクト高いスケーラビリティと可用性を備えたネットワーク サービスに...

アプリケーション依存関係マッピングがクラウド移行に重要な理由

ソフトウェアの依存関係は、効果的なコンポーネントベースのプログラミングの重要な部分です。同時に、ソフ...

profitserver: 新年 30% オフ、無制限トラフィック VPS、ロシア/シンガポール/オランダ/米国/ブルガリア

profitserver は、クリスマスと新年に向けて、ロシア (チェリャビンスク、モスクワ)、オラ...

フレンドリーリンクの効果を高める方法

Baidu Green Radish のアルゴリズムがリリースされました。その他の分類情報、フォーラ...