Upload
kensuke-nezu
View
507
Download
2
Embed Size (px)
Citation preview
29SEC2015 ~”The 肉節句”~
OpenSSLチェックサイトのフォローアップ– HeartBleed 2015/2/9 版 -
Microsoft MVP for Identity & Access - Enterprise SecurityNTTデータ先端技術
根津 研介
29SEC2015 ~”The 肉節句”~
前回の続きなので・・・
前回の情報については以下を参照してください。
http://www.slideshare.net/kensukesan/heartbleed-42503407?ref=http://blog.knlab.com/
29SEC2015 ~”The 肉節句”~
Piyokangoさんのリストにあるチェックサイトを調べてみた
http://d.hatena.ne.jp/Kango/20140410/1397139257 より
29SEC2015 ~”The 肉節句”~
Qualys SSL Test
実際のサイズ: 16349+16=16365
指定のサイズ: 16365
正常アクセス Bug付:エラーにならないBugFix:エラーになる
29SEC2015 ~”The 肉節句”~
unsigned int payload;unsigned int padding = 16; /* Use minimum
padding */
+ /* Read type and payload length first */+ if (1 + 2 + 16 > s->s3->rrec.length)+ return 0; /* silently discard */+ hbtype = *p++;+ n2s(p, payload);+ if (1 + 2 + payload + 16 > s->s3->rrec.length)+ return 0; /* silently discard per RFC 6520 sec. 4 */
BugFixされているかどうかチェックする原理
29SEC2015 ~”The 肉節句”~
Global Sign powered by Qualys SSL Test
実際のサイズ: 16349+16=16365
指定のサイズ: 16365
正常アクセス Bug付:エラーにならないBugFix:エラーになる
29SEC2015 ~”The 肉節句”~
LAST PASS
HeartBeetパケットがありませんでした。
29SEC2015 ~”The 肉節句”~
possiblelv
実際のサイズ: 10+16=26
指定のサイズ: 4096
不正アクセス
29SEC2015 ~”The 肉節句”~
Fillippo Valsorda
実際のサイズ: 117+16=133
指定のサイズ: 1388
不正アクセス
29SEC2015 ~”The 肉節句”~
Symantec SSL Toolbox ~ Check your certificate installation ~
実際のサイズ: 3
指定のサイズ: 16389
不正アクセス
29SEC2015 ~”The 肉節句”~
Critical Watch
実際のサイズ: 21+16=37
指定のサイズ: 121
不正アクセス
29SEC2015 ~”The 肉節句”~
COMODO SSL Analyzer
SSLではサイズは変わらない。
リクエストよりもレスポンスの方が大きい≒不正アクセス
外→ 中
中→ 外
Encripted HeartBleedPacketを解く設定を忘れてましたm(__)m
29SEC2015 ~”The 肉節句”~
NetAgent
公開中止
29SEC2015 ~”The 肉節句”~
McAfee
機能停止
なぜか入力はできる???なぜ?
29SEC2015 ~”The 肉節句”~
TrendMicro
公開停止(リロケーション)
チェックサイトのURLはこの説明サイトに飛ばされる
29SEC2015 ~”The 肉節句”~
Piyokangoさんのリストにあるチェックサイトを調べてみた結果
http://d.hatena.ne.jp/Kango/20140410/1397139257 より
正常アクセス
公開中止
正常アクセス
HeartBeat無
不正アクセス
不正アクセス
不正アクセス
公開中止
不正アクセス
不正アクセス
公開中止
29SEC2015 ~”The 肉節句”~
まとめ
良心的な(?)チェックサイトは「閉じてしまった」
Qualysのチェック(GlobalSignも)正しいチェック方法で合法なやり方でチェック。
残りのサイトは相変わらず不正アクセスの幇助をしている。
私の願いは、– まだまだ20万サイト以上が、HeartBleedを抱えたサイトだと言われる現状で、
– 合法なパケットの出し方で、
– 一般ユーザが気軽にHeartBleed脆弱性をチェックできるサイトがあること。
– Qualysのチェックは総合チェックなのでちょっと重すぎ(ワナもあるし・・・)。
29SEC2015 ~”The 肉節句”~
おまけ
チェックスクリプトで自前でチェックできる人は、@jspenguinさんの”ssltest.py”でチェックしましょう。https://github.com/musalbas/heartbleed-masstest/blob/master/ssltest.py
他の人が、元々のオリジナルの欠点を指摘した「改良版」と称するもののほとんどの機能が取り込まれています。
このスクリプトを使えば不正アクセスにはなりません。