CVE-2014-0160 OpenSSL Heartbleed 脆弱性 確認方法
CVE-2014-0160 OpenSSL Heartbleed 脆弱性の確認方法を
WEBで拾ったので、メモ。
openssl s_client -connect google.com:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe
https://devcentral.f5.com/questions/openssl-and-heart-bleed-vulnp
ただし、実行環境はopenssl 1.0.1でないと 正しく確認できないとのこと。
以下、引用。
squip ... this is a nice command you pasted warning... for clarification though... i think the source workstation you are testing must not be running 0.9.8 ... i.e. ... i think your testing workstation should ideally be running OpenSSL 1.0.1 ... otherwise your script will report safe when you are not running out of time patching stuff... but, the command you provided could probably be altered to check the local version of openssl first... then test the remote site to check
[2014/4/11追記]
そもそも「CVE-2014-0160 OpenSSL Heartbleed 」について知りたい方は、
以下のnekoruriさんの記事がよいと思います。
とてもよくまとめられています。
http://d.hatena.ne.jp/nekoruri/20140408/heartbleed
F5社のBIGIPやAWS(AmazonWebService)、Androidも影響ありなんですね。
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
- 作者: 徳丸浩
- 出版社/メーカー: ソフトバンククリエイティブ
- 発売日: 2011/03/03
- メディア: 大型本
- 購入: 119人 クリック: 4,283回
- この商品を含むブログ (141件) を見る