nakatomo 曰く、

久しぶりに覗いてみたらOpenSSLのバグHeartbleed(CVE-2014-0160)が話題に入ってないようなので、ちょっと書いとく。

スタックオーバーフロー的な方法でサーバー側のRAMの中身を読み出せるところが攻撃のキモなようで、生でRAMに乗ってしまっているパスワードやらが読み出せるとか。(参考: http://heartbleed.com/)

ただし、そうやって読み出せるモノのうち、TLSで使っている秘密鍵などといった本当に重要なものが流出してしまう可能性はあまり高くないという解析もあったりして、現実的な脅威レベルは思っている程高くないのかもしれない。(参考: http://www.theverge.com/2014/4/11/5604300/heartbleed-may-not-leak-private-ssl-keys-after-all)

なお、バグを公表したCloudFlareが人柱サーバー仕立てて公開チャレンジを開催している。(参考: https://www.cloudflarechallenge.com/heartbleed)