アカウント名:
パスワード:
速攻でSSLのサイトからSourceを落としてmakeで入れました。
#っていうか、パッチなんて待ってられない。
攻撃の痕跡が残らないらしいので、もう手遅れのおそれも…。
> 悪用された場合秘密鍵など重要なデータが大量に盗み出される恐れがあるとのことだ。すでに秘密鍵を奪取されていて手遅れの可能性があると想定したら、opensslをアップデートした後で鍵を作り直した上で証明書再発行と旧証明書失効申請をしないと駄目かもしれませんね、こりゃ。
なんと面倒な・・・しかも、実際に攻撃に用いられたか不明だけど万が一の可能性を考えるとやっとかないと駄目、というのが気力を削がれますな。実際に被害が報告されていたら、必要性も感じやすいのだが。
おそらく、現時点で対応した人は大丈夫、発覚後もopensslのアップデートを放置してたサイトはアウト、ぐらいじゃないかと思うのだが・・・。安全側に倒すなら、対応しないわけにもいかぬか。
CentOS6.5なんだけど、updateかけてもOpensslが1.0.1eのままだよー;リポジトリ何か入れないといけないのか・・・リポジトラレてしまったのか
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
取りあえず・・・ (スコア:0)
速攻でSSLのサイトからSourceを落としてmakeで入れました。
#っていうか、パッチなんて待ってられない。
Re: (スコア:1)
攻撃の痕跡が残らないらしいので、もう手遅れのおそれも…。
Re: (スコア:2, 参考になる)
> 悪用された場合秘密鍵など重要なデータが大量に盗み出される恐れがあるとのことだ。
すでに秘密鍵を奪取されていて手遅れの可能性があると想定したら、opensslをアップデートした後で鍵を作り直した上で証明書再発行と旧証明書失効申請をしないと駄目かもしれませんね、こりゃ。
>鍵を作り直した上で証明書再発行と旧証明書失効申請 (スコア:1)
なんと面倒な・・・しかも、実際に攻撃に用いられたか不明だけど万が一の可能性を考えるとやっとかないと駄目、というのが気力を削がれますな。
実際に被害が報告されていたら、必要性も感じやすいのだが。
おそらく、現時点で対応した人は大丈夫、発覚後もopensslのアップデートを放置してたサイトはアウト、ぐらいじゃないかと思うのだが・・・。
安全側に倒すなら、対応しないわけにもいかぬか。
Re:>鍵を作り直した上で証明書再発行と旧証明書失効申請 (スコア:1)
CentOS6.5なんだけど、updateかけてもOpensslが1.0.1eのままだよー;
リポジトリ何か入れないといけないのか・・・
リポジトラレてしまったのか