パスワードを忘れた? アカウント作成
10816290 journal
日記

iidaの日記: OpenSSL 1.0.1g

日記 by iida

OpenSSLセキュリティー・アドバイザリーが刊行され、OpenSSL 1.0.1gがリリースされた。

このアドバイザリーによると、

  • TLSのハートビート拡張の欠陥により、最高で64k (ママ) のメモリーがTLS/SSLの通信の相手方に暴露されてしまう
  • 影響を受ける版は、
    • 1.0.1fを含む1.0.1系
    • 1.0.2-beta1
  • ただし、-DOPENSSL_NO_HEARTBEATSというコンパイル・オプションを指定してコンパイルしていたときにかぎり、影響を受けない
  • 1.0.2-beta2で修正を予定している

そうだ。

- - - - -

(PS [参考リンク] http://heartbleed.com/
PGP署名の鍵が1.0.1fから変わっている。SHA1のハッシュ値は、b28b3bcb1dc3ee7b55024c9f795be60eb3183e3cなので、ご参考までに。
アドバイザリーにはないが、CHANGESファイルによると、ECDSA関連の脆弱性にも対応しているようだ。http://eprint.iacr.org/2014/140に詳細があるもよう。
ソース・コードの差分を眺めたところ、crl下位コマンドに-hash_oldオプションが増えたみたいだ)

この議論は、iida (8060)によって テキとトモのテキ禁止として作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...