Heartbleed脆弱性対策の報告とパスワード変更のおねがい

ニュースレター メールマガジン「Heartbleed脆弱性対策の報告とパスワード変更のおねがい」を配信しました。

ニュースレター配信します!

---------------------------------------------------------------------- OSS Japan ニュースレター No.11 https://www.ossj.jp------------------...---------1. Heartbleed脆弱性対策の報告とパスワード変更のおねがい2. ニュースリリース受付開始----------------------------------------------------------------------OSS開発者がつくるOSSユーザーのためのOSS総合情報サイトOSS Japanから、ニュースをまとめてご案内します。----------------------------------------------------------------------1. Heartbleed脆弱性対策の報告とパスワード変更のおねがい----------------------------------------------------------------------OpenSSL Project が提供する OpenSSL の heartbeat 拡張のHeartbleed脆弱性が発見されました。OpenSSLは、広く使われるオープンソースの暗号ライブラリであり、Heartbleed脆弱性はサーバーの情報を第三者が容易に取得することが可能となるもので、情報が漏洩したとしてもログが残らず、漏えいしたことはサーバー管理側でもわかりません。Heartbleed脆弱性検査サービスを、ネットエージェントさんが提供をはじめましたので、アカウントを登録しているすべてのサイトでチェックしてみてください。https://www.ossj.jp/article.php/heartbleed-checker-20140424当サイトでは発表当日の8日夜、対策を完了しました。現在当サイトにアカウントをお持ちの方は、パスワードをよりセキュアなパスワードに変更してください。脆弱性は、全ての「OpenSSL」にあるわけではなく、下記バージョンにのみあると発表されています。・OpenSSL 1.0.1 から1.0.1f・OpenSSL 1.0.2-beta から 1.0.2-beta1当サイトは、2月末までのサーバーは対象外で問題ありませんでしたが、その後移行したさくらのクラウドでは該当のバージョンでした。発表当日の8日すぐに対策しましたが、漏れていない保証はありません。なお、当サイトでは設置しておりませんが、一般的にSSLを運用されているサイトでは、SSLの証明書の秘密鍵も漏えいしている場合があります。SSLを運用しているサイトは、現在のSSL証明書を無効にしたうえで再発行し、新たに埋め込みなおす作業が必要となりますのでサイトを運用されている方は各自対応が必要かどうかを判断する必要があります。<参考>OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付することでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得する可能性があります。(JPCERTより抜粋)OpenSSL の脆弱性に関する注意喚起(JPCERT)http://www.jpcert.or.jp/at/2014/at140013.htmlThe Heartbleed Bughttp://heartbleed.com/OpenSSLの「Heartbleed」脆弱性、一般ユーザーの自衛は困難 対応は長期戦かhttp://www.itmedia.co.jp/news/articles/1404/10/news114.html【不正アクセス】三菱UFJニコス、「Heartbleed」により顧客情報漏洩 - 対策講じるも間に合わずhttp://www.security-next.com/048185くわしくは以下の記事2件をご覧ください。The Heartbleed Bug 対応完了のおしらせhttps://www.ossj.jp/article.php/security-heartbleed-bug-20140418Heartbleed脆弱性検査https://www.ossj.jp/article.php/heartbleed-checker-20140424----------------------------------------------------------------------2. ニュースリリース受付開始----------------------------------------------------------------------プレスリリースを、バージョンアップリリースにあわせて行います。OSS製品の発表等にどうぞご活用ください。ニュースリリースの登録https://www.ossj.jp/databox/mydata/data.php?type_id=3------------------------------------------------------------※ このメッセージは、通知専用のメール アドレスから送信されており、このアドレス宛てに返信できません。配信解除は、ログインして、マイアカウントにて、プライバシーサイト管理者からのメールを受け取る のチェックを外してください。アカウント削除は,ログインしてアカウントを削除してください。このメールを reject@ossj.jp へ転送していただいても結構です。======================================OSS Japanhttps://www.ossj.jp/https://www.facebook.com/groups/ossjapan/今駒哲子(Ivy) http://www.facebook.com/Ivywe========...==========