- ベストアンサー
OpenSSLのHeartBleedによる脆弱性は
OpenSSLサーバからOpenSSLクライアントに対して 攻撃が行えるだけで OpenSSLサーバ及びOpenSSLクライアント以外の第3者から OpenSSLサーバまたはOpenSSLクライアントに対して 攻撃が行えるということではない 従って OpenSSLサーバとOpenSSLクライアントに信頼関係があれば OpenSSLのHeartBleedによる脆弱性については問題ない と考えていいのでしょうか?
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
OpenSSLは暗号化ライブラリソフトなので「OpenSSLサーバ」「OpenSSLクライアント」と言うモノは存在しません。 OpenSSLを利用して通信の暗号化(主にHTTPS通信)を行っているサーバに対して不適切なハートビート要求を送ることで暗号鍵等を盗みだせるという問題がHeartBleedです。 該当機能を使用している場合は、OpenSSLを問題の無いバージョンに更新し、サーバ内でOpenSSLを利用しているサーバソフトの再コンパイルを行うなどしないと脆弱性の問題は残ります。
お礼
回答ありがとうございます 不特定多数の人がサーバに不正アクセスして暗号鍵を盗み出せるということですね