« [ Debian / Linux ] キー配列を変更する | トップページ | [ Debian ] Hartbleed バグ対応状況 »

2014/04/09

Hartbleed バグに対する OpenSSL セキュリティアドバイザリ全文訳

Google+ には公開していたのですが、こちらに公開忘れてた orz
OpenSSL が公開したアドバイザリの全文を以下に翻訳します。
原文は こちら

OpenSSL セキュリティアドバイザリ [ 2014-04-07 ] ========================================

TLS ハートビートにおけるリードオーバーラン (CVE-2014-0160) =================================================

TLS ハートビート拡張の処理において、境界チェック (原文 bound check) に欠陥がある。この欠陥により、最大で 64KB のメモリが接続先のクライアントもしくはサーバに暴露される。

1.0.1f と 1.0.2-beta1 を含む 1.0.1 および 1.0.2-beta のみがこのバグの影響を受ける。

このバグを発見した Google セキュリティチームの Neel Mehta と修正に尽力してくれた Adam Langley, Bodo Moeller に感謝する。

影響を受けるバージョンを使用しているユーザは OpenSSL 1.0.1g へアップグレードすることを勧める。今すぐにアップグレードすることができないユーザは `-DOPENSSL_NO_HEARTBEATS` をつけて OpenSSL をリコンパイルすることでこの脆弱性に対応することができる。

1.0.2 では beta2 で修正する予定である。

|

« [ Debian / Linux ] キー配列を変更する | トップページ | [ Debian ] Hartbleed バグ対応状況 »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/103108/59438428

この記事へのトラックバック一覧です: Hartbleed バグに対する OpenSSL セキュリティアドバイザリ全文訳:

« [ Debian / Linux ] キー配列を変更する | トップページ | [ Debian ] Hartbleed バグ対応状況 »