インターネット上で標準的に利用される暗号通信プロトコルであるSSLおよびTLSの機能を実装した、オープンソースのライブラリ(プログラム部品)。
外部のソフトウェアから呼び出して利用するライブラリプログラムの一種で、自分の開発したソフトウェアにSSL/TLSによる暗号通信機能を組み込むことができる。オープンソースソフトウェアとして公開されているため、誰でも自由に入手・利用したり開発したプログラムと共に再配布したりすることができる。
OpenSSLに脆弱性クライアントやサーバにメモリ露呈ですって
オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に64Kバイトのメモリが露呈されてしまう脆弱性が発覚し、この問題を修正した「OpenSSL 1.0.1g」が4月7日に公開された。
OpenSSLのセキュリティ情報によると、脆弱性はTLS Heartbeat拡張の処理における境界チェックの不備に起因する。悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れがある。
この脆弱性は、OpenSSL 1.0.1fと1.0.2-beta1を含む1.0.1および1.0.2-betaリリースに存在しており、1.0.1gで修正された。直ちにアップグレードできない場合のために、「OPENSSL_NO_HEARTBEATS」のフラグを有効にして再コンパイルする方法も紹介している。ITメディア
悪用された場合のリスクが非常に恐ろしい。これに関してのツイッターの反応
Homebrew の人は brew update && brew upgrade するなどして openssl を 1.0.1g にしておきましょう。
— ゆこたん (@yukotan) 2014, 4月 8
このOpenSSLの脆弱性は Macの人も影響あるよ。
$ openssl version
として 0.98系だったら問題ないけど 1.0.1系の人は問題あり。 pic.twitter.com/eRwfp39v4D
— ゆこたん (@yukotan) 2014, 4月 8
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 http://t.co/4cVFkEISPv @jptechcrunchさんから
— tsuna (@thickRope51) 2014, 4月 8
なに?重大なセキュリティバグ? じゃあOpenSSLは使用禁止だ!!!なに?オープンソースだと?じゃあオープンソースは危ない!禁止だ! あわわ/ OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 http://t.co/0KfeUlfPS0 via
— rocky (@rocky_manobi) 2014, 4月 8
