Heartbleed (CVE-2014-0160)
Heartbleed (CVE-2014-0160)
説明
Heartbleed (CVE-2014-0160) は、広く使用されているトランスポート層セキュリティ(TLS)プロトコルの実装であるOpenSSL暗号化ライブラリのセキュリティバグです。2012年にソフトウェアに導入され、2014年4月に公に開示されました。
Heartbleedは、脆弱なOpenSSLインスタンスがTLSサーバーとして実行されているかクライアントとして実行されているかに関係なく悪用される可能性があります。 これは、TLS heartbeat拡張の実装における不適切な入力検証(境界チェックの欠落による)に起因しています。したがって、バグの名前はheartbeatに由来しています。さらに、この脆弱性はバッファオーバーリードとして分類され、許可されるべき以上のデータを読み取ることができます。
推奨事項
Heartbleed脆弱性のリスクを軽減するには、以下の対策を検討してください。
- OpenSSLの更新: Heartbleedのパッチが含まれている最新バージョンのOpenSSLを使用していることを確認してください。システム、アプリケーション、およびデバイスをパッチ適用済みのバージョンに更新します。
- SSL証明書の置き換え: サーバーの新しいSSL証明書を生成し、古いものを失効させます。これにより、侵害された秘密鍵の潜在的な悪用を防ぐことができます。
- ユーザー認証情報のリセット: 特にHeartbleedが存在していた期間中に影響を受けたサービスにログインした場合は、ユーザーにパスワードの変更を促します。
リンク
標準
- PCI_STANDARDS:
- REQ_2_2
- REQ_4_2
- REQ_6_2
- REQ_6_3
- REQ_6_4
- REQ_11_3
- SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5
- HIPAA_CONTROLS:
- SECURITY252
- SECURITY212
- SECURITY213
- SECURITY255
- SECURITY258