JPCERT/CCは、OpenSSL Projectが提供している暗号化プログラム「OpenSSL」のheartbeat拡張において、情報漏洩の脆弱性があると発表した。これにより、遠隔の第三者は秘密鍵やパスワードなど重要な情報を取得できる可能性があるという。

該当するバージョンのOpenSSLを使用している場合、修正済みバージョンにアップデートする必要がある。この脆弱性が存在することで、遠隔の第三者が細工したパケットを送付した場合システムのメモリ内の情報を閲覧し、秘密鍵、クレジットカード情報、パスワードといった重要な情報を取得されてしまう可能性がある。

該当するバージョンはOpenSSL 1.0.1 から 1.0.1f、OpenSSL 1.0.2-beta から 1.0.2-beta1。OpenSSL Projectから脆弱性を修正したバージョンのOpenSSLが公開されているので、適用するよう呼びかけている。4月8日時点ではOpenSSL 1.0.2-betaの修正済みバージョンは公開されていないという。

OpenSSL 1.0.1gの修正済みバージョン（Tarballs）
URL：http://www.openssl.org/source/

発表資料
URL：https://www.jpcert.or.jp/at/2014/at140013.html
2014/04/09