アカウント名:
パスワード:
速攻でSSLのサイトからSourceを落としてmakeで入れました。
#っていうか、パッチなんて待ってられない。
攻撃の痕跡が残らないらしいので、もう手遅れのおそれも…。
> 悪用された場合秘密鍵など重要なデータが大量に盗み出される恐れがあるとのことだ。すでに秘密鍵を奪取されていて手遅れの可能性があると想定したら、opensslをアップデートした後で鍵を作り直した上で証明書再発行と旧証明書失効申請をしないと駄目かもしれませんね、こりゃ。
管理サーバはyumでアップデートできるからいいとして、全サーバの証明書再発行が限りなく面倒。だからこんな内容なのに今日は書き込みが少ないのか・・・
なんと面倒な・・・しかも、実際に攻撃に用いられたか不明だけど万が一の可能性を考えるとやっとかないと駄目、というのが気力を削がれますな。実際に被害が報告されていたら、必要性も感じやすいのだが。
おそらく、現時点で対応した人は大丈夫、発覚後もopensslのアップデートを放置してたサイトはアウト、ぐらいじゃないかと思うのだが・・・。安全側に倒すなら、対応しないわけにもいかぬか。
CentOS6.5なんだけど、updateかけてもOpensslが1.0.1eのままだよー;リポジトリ何か入れないといけないのか・・・リポジトラレてしまったのか
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
取りあえず・・・ (スコア:0)
速攻でSSLのサイトからSourceを落としてmakeで入れました。
#っていうか、パッチなんて待ってられない。
Re: (スコア:1)
攻撃の痕跡が残らないらしいので、もう手遅れのおそれも…。
Re:取りあえず・・・ (スコア:2, 参考になる)
> 悪用された場合秘密鍵など重要なデータが大量に盗み出される恐れがあるとのことだ。
すでに秘密鍵を奪取されていて手遅れの可能性があると想定したら、opensslをアップデートした後で鍵を作り直した上で証明書再発行と旧証明書失効申請をしないと駄目かもしれませんね、こりゃ。
Re:取りあえず・・・ (スコア:1)
管理サーバはyumでアップデートできるからいいとして、全サーバの証明書再発行が限りなく面倒。だからこんな内容なのに今日は書き込みが少ないのか・・・
>鍵を作り直した上で証明書再発行と旧証明書失効申請 (スコア:1)
なんと面倒な・・・しかも、実際に攻撃に用いられたか不明だけど万が一の可能性を考えるとやっとかないと駄目、というのが気力を削がれますな。
実際に被害が報告されていたら、必要性も感じやすいのだが。
おそらく、現時点で対応した人は大丈夫、発覚後もopensslのアップデートを放置してたサイトはアウト、ぐらいじゃないかと思うのだが・・・。
安全側に倒すなら、対応しないわけにもいかぬか。
Re:>鍵を作り直した上で証明書再発行と旧証明書失効申請 (スコア:1)
CentOS6.5なんだけど、updateかけてもOpensslが1.0.1eのままだよー;
リポジトリ何か入れないといけないのか・・・
リポジトラレてしまったのか