"このサーバは Heartbleed 攻撃に対して脆弱性があります。最新バージョンの OpenSSL に更新し、お使いのウェブサーバまたは機器で証明書を入れ替え、危殆化したサーバメモリで表示される場合があるエンドユーザーパスワードをリセットします。"
Heartbleed バグは、OpenSSL 暗号ライブラリの Heartbeat 拡張機能中にあります。OpenSSL バージョン 1.0.1 ~ 1.0.1f および 1.0.2-beta1 の暗号ライブラリは、Heartbleed バグ攻撃に対して脆弱性があります。Heartbleed バグ脆弱性は、OpenSSL 暗号ライブラリ内の脆弱さで、この結果、攻撃者は、通常は SSL と TLS プロトコルで保護されている機密情報にアクセスできます。
OpenSSL は、暗号機能を採用し、別のユーティリティ機能を提供する暗号ライブラリを含め、セキュアソケットレイヤ (SSL) とトランスポートセキュリティレイヤのセキュリティ (TLS) プロトコルをじっすするオープンソースツールキットです。この暗号ライブラリは一般的に、インターネットのトラフィックの多くを安全保護するために、インターネット上のサーバにより実装されています。
攻撃者は、Heartbleed バグ攻撃を利用し、以下にアクセスできます。
Heartbleed バグから環境を保護する場合、脆弱性のあるバージョンの OpenSSL を実行しているサーバ上で OpenSSL を、および影響を受けたバージョンの OpenSSL ライブラリを使用してソフトウェアを修正します。
最新バージョンの OpenSSL (バージョン 1.0.1g またはそれ以降) ニアアップグレードします。
パッチ修正後、OpenSSL ライブラリのリセットと、Heartbleed バグのキャッシュメモリからの削除を確認するため、お使いのソフトウェアの再起動が必要な場合があります。
最新バージョンの OpenSSL にアップグレードできない場合:
DigiCert Discovery を使用して環境を再スキャンし、Heartbleed バグ攻撃への脆弱性がないかを確認します。
再発行済証明書をインストールした後、入れ替えた証明書を失効にする必要があります。証明書を失効にするには、認証局にお問い合わせください。
DigiCert 顧客の場合は、support@digicert.com にてサポートまでメールにてお問い合わせください。証明書のオーダー番号および失効を希望する内容について簡単な説明が含まれているかを確認します。
お使いのサーバがパスワードを承認した場合、クライアントのパスワードもリセットしますが、リセットするのは、サーバとソフトウェアのパッチ修正および証明書のキー変更、再発行、インストールおよび失効後のみです。
サーバ/ソフトウェアのパッチ修正および証明書のキー変更、再発行、インストールおよび失効前に、パスワードをリセットした場合、パスワードは表示されますが、そのパスワードはもう一度リセットが必要になります。