Heartbleedは、攻撃者が一定の条件を満たすOpenSSLが動作しているサーバの、任意位置のメモリを外部から読み出すことができてしまうという脆弱性です。具体的には、以下のようなリスクが想定されています。
- 秘密鍵の漏洩による、偽サイトの出現(あるいは中間者攻撃)
- 秘密鍵の漏洩により、(過去のものを含む)パケットキャプチャの解読
- サーバの同一プロセスが行った処理に関連する(他のユーザーのパスワードやセッションキーを含む)データの漏洩
漏洩した秘密鍵を用いた攻撃には、ユーザーを偽サイトへ誘導できたり、パケットの経由点を管理しているなどの、経路上の要件が必要になります。他のユーザーのデータの漏洩については、経路上の要件は不要な一方、攻撃の実施に近いタイミングでサーバにアクセスしたユーザーのデータしか漏れない、という違いがあります。
どこまで対策を施すべきかは、攻撃を受けた可能性をどの程度と評価するか、個々の組織の判断によるところがあると思うのでコメントしませんが、以下のような対策が必要になる可能性があります。
- 偽サイトの出現や中間者攻撃、これからのパケット解読を防ぐには、新しい秘密鍵/公開鍵ペアを使うサーバ証明書への更新と、現行のサーバ証明書のrevocation
- 秘密鍵の漏洩によって過去のパケット解読が容易になることのないよう、Forward Secrecyを満たすようなサーバ設定
- 他のユーザーのものを含むデータの漏洩については、セッション情報のリセットとパスワードの再設定のお願い
■Heartbleedの背景
Heartbleedのような問題は、そもそもなぜ発生するのでしょう。それは言うまでもなく、安全性の根拠をプログラムが正しく記述されることに求めているからです(つまり、プログラムにバグがあると脆弱性として発現する可能性があるから)。最小権限の原則が守られていない、と言い換えてもよいと思います。
Heartbleedにおいて他のユーザーのデータが漏洩するのは、一つのプロセスが複数のユーザーの通信を処理しているからです。ユーザーごとに(あるいは接続毎に)別個のプロセスを割り当てていれば、他のユーザーの通信内容が漏洩することは起こりえません。
秘密鍵の漏洩にしても、秘密鍵を必要とする処理(TLSのハンドシェイク中の一部処理に限られます)と、TLS Heartbeatの処理
多くのOSのプロセス分離やファイルアクセス権の制御に見られるように、最小権限の原則に基づいたセキュリティは有効に機能することが知られています。
にもかかわらず、ウェブ関連のソフトウェアにおいては同原則を用いずに、安全性の根拠をプログラムにバグがない点に求めるという悪しき慣習が続いています。特に、機能別の権限分離はまだしも、アクセスユーザー別の権限分離については系統だった実施例が非常に少ないという印象をもっています。
たとえば、SQL Injectionに代表されるSQL関連の情報漏洩も、アクセス制御にRDBMSのアクセス制御機構を用いず、アプリケーションプログラム内のSQL(とそのエスケープ)が正しく記述されている点に、安全性の根拠を求めているが故に発生しているわけです注1。
ウェブの黎明期においては、(小数のユーザが使用することが一般的だった)RDBMSの認証システムの要件と多数が使用するウェブの要件は異なるのでRDBMSの認証システムはウェブ向けには使用できない、というのは説得力のある言い訳でした。ですが、今やRDBMSの用途の多くがウェブアプリケーションのデータストアになっているはずです。にもかかわらず、RDBMS(あるいはその他のデータストア)のアクセス制御機構をウェブアプリケーションからのアクセス制御に使う、というのは一般的な手法になっていません。
同様の問題はウェブアプリケーションサーバにもあり、複数のユーザーのリクエストを単一のプロセスで処理する結果、情報漏洩が発生するケースが見受けられます注2。
リバースプロキシ、アプリケーションサーバ、データストア、そういったウェブアプリケーションの各要素について、最小権限の原則に基づいた、アプリケーションにバグがあっても脆弱にならないようなアーキテクチャの構成技法と技術開発が求められているのではないでしょうか。
注1: 強制アクセス制御がうまく機能しないようなアクセスパターンも、もちろん存在します
注2: 卑近な例としては、ログインユーザーとして別のユーザの名前が表示されるとか
注2: 卑近な例としては、ログインユーザーとして別のユーザの名前が表示されるとか
s/通信データの漏洩/データの漏洩/
ReplyDeleteありがとうございます。修正しました。
Deleteray ban sunglasses
ReplyDeletehollister outlet
nike air max 90
jordan shoes
cheap jordan shoes
michael kors handbags
cheap oakley sunglasses
michael kors outlet
fitflops
jordan retro 3
mont blanc pens for sale
nike outlet
louis vuitton handbags
rolex watches outlet
tods outlet
michael kors outlet
oakley sunglasses
louis vuitton handbags
coach outlet
ghd flat iron
ralph lauren polo
juicy couture
polo ralph shirts
coach outlet store online
gucci outlet
louis vuitton handbags
coach outlet store online
coach outlet
louis vuitton outlet
toms
christian louboutin outlet
tory burch sale
coach factory outlet
hollister clothing
hermes handbags
oakley outlet
jordan 3
adidas outlet store
tory burch outlet
true religion jeans
20168.2wengdongdong
This blog is so nice to me. I will continue to come here again and again. Visit my link as well. Good luck
ReplyDeletehttp://www.jualobataborsiherbal.com/ obat aborsi
http://caramenggugurkankandungan.info/ cara menggugurkan kandungan
http://www.jualobataborsiherbal.com/cara-menggugurkan-kandungan/ cara menggugurkan kandungan
http://obataborsi59.com/ obat aborsi
http://obataborsi59.com/cara-menggugurkan-kandungan-dengan-cepat-dan-aman/ cara menggugurkan kandungan
http://obattelatdatangbulan.info/ obat telat datang bulan
http://klinikobataborsi.com/ jual obat aborsi
http://jualobatpenggugurkandungan.net/ obat penggugur kandungan
http://tandatandakehamilan.net/ tanda tanda kehamilan
http://tandatandakehamilan.net/cara-cepat-dan-selamat-menggugurkan-kandungan/ cara menggugurkan kandungan
ReplyDeleteشركة نقل عفش بالدمام الشرق الاوسط متحصصه فى نقل عفش واثاث بالدمام ونقل العفش بالخبر كما انها توفر شركة نقل عفش بالجبيل والخبر وشركة نقل عفش بالقطيف والاحساء وجميع خدمات نقل العفش والاثاث بالمنطقة الشرقية بارخص اسعار نقل عفش بالدمام وتقدم ايضا شركة تخزين عفش بالدمام والخبر
نقل عفش بالدمام
شركة نقل اثاث بالدمام
شركة نقل اثاث بالخبر
شركة نقل اثاث بالجبيل
شركة نقل عفش بالخبر
ReplyDeleteشركة نقل عفش بالقطيف
شركة نقل اثاث بالاحساء
شركة نقل عفش الجبيل
شركة نقل عفش بالدمام
شركة نقل اثاث بجدة
ReplyDeleteشركة نقل عفش بالرياض
شركة نقل عفش بالمدينة المنورة
شركة نقل عفش بالدمام
شركة نقل عفش بالدمام
mulberry handbags
ReplyDeleteray ban sunglasses
oakley sunglasses
tory burch outlet
nike outlet
nike shoes
canada goose outlet
pandora jewelry
polo outlet
michael kors
chanyuan2017.11.20
prada
ReplyDeletesac michael kors
dansko outlet
new balance femme
adidas superstar
miu miu shoes
supra shoes
mizuno
air max plus
salvatore ferragamo
2018.4.23chenlixiang
kate spade handbags
ReplyDeletea bathing ape clothing
stussy hoodie
pandora jewelry
james harden jerseys
nike outlet online
jordan 31
mont blanc pens
kobe 12
michael kors outlet clearance
20185.26chenjinyan
adidas superstar
ReplyDeletemontre pas cher
cheap nfl jerseys
soccer shoes
bcbg outlet
prada outlet
wedding dresses
michael kors
nike air max
skechers shoes
2018.6.11linying
This information is very useful. thank you for sharing. and I will also share information about health through the website
ReplyDeleteObat Sakit Mata Belekan Alami
Cara Mengatasi Diare
Obat Sariawan Alami
Obat Penghancur Batu ginjal
Cara Menghilangkan Varises
Obat Sakit perut melilit paling Ampuh
Cara Mudah Menghilangkan Keloid
hermes uk
ReplyDelete10 deep clothing
spalding basketball
tory burch sandals
nike store
nike air max
air zoom pegasus
isabel marant
jordan 14
maui jim sunglasses
chenlina20180626
ReplyDeleteThank you for joining us. his article is very helpful
Obat Maag Alami
Cara Menghilangkan Keputihan Secara Alami dan Permanen
Cara Mengobati Hematuria
Obat Penambah Berat Badan
Cara Mengobati Penyakit Kista
Cara Mengobati Sesak Napas Alami
Cara Mengobati Penyakit Gagal Jantung
Webroot.com/safe is a protection software solution that communicates with the cloud avoiding the hassle to manage the signature updates to deploy. for office setup visit office.com/setup
ReplyDelete