CVE-2014-0160 OpenSSL Heartbleed 脆弱性確認方法

CVE-2014-0160 OpenSSL Heartbleed 脆弱性の確認方法を

WEBで拾ったので、メモ。

openssl s_client -connect google.com:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe

https://devcentral.f5.com/questions/openssl-and-heart-bleed-vulnp

ただし、実行環境はopenssl 1.0.1でないと正しく確認できないとのこと。

以下、引用。

squip ... this is a nice command you pasted warning... for clarification though... i think the source workstation you are testing must not be running 0.9.8 ... i.e. ... i think your testing workstation should ideally be running OpenSSL 1.0.1 ... otherwise your script will report safe when you are not running out of time patching stuff... but, the command you provided could probably be altered to check the local version of openssl first... then test the remote site to check

[2014/4/11追記]

そもそも「CVE-2014-0160 OpenSSL Heartbleed 」について知りたい方は、

以下のnekoruriさんの記事がよいと思います。

とてもよくまとめられています。

http://d.hatena.ne.jp/nekoruri/20140408/heartbleed

F5社のBIGIPやAWS(AmazonWebService)、Androidも影響ありなんですね。

体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

作者: 徳丸浩
出版社/メーカー: ソフトバンククリエイティブ
発売日: 2011/03/03
メディア: 大型本
購入: 119人クリック: 4,283回
この商品を含むブログ (141件) を見る