ようこそゲストさん

特に重要なセキュリティ欠陥・ウイルス情報

メッセージ欄

『FFFTP』 で検索

2014/04/24(木) OpenSSL のセキュリティ欠陥(Heartbleed バグ)について

マルチOS

暗号ライブラリ OpenSSL 1.0.1〜1.0.1f、1.0.2-beta1 に欠陥があり、最大 64k バイトのメモリー内容が、接続しているクライアントあるいはサーバーに漏洩する「Heartbleed(心臓出血)バグ」の存在が明らかとなっています。マスメディアでも広く報道されており、ご存じの方も多いかと思います。

理工学部内において該当するサーバーを稼働させていたサイトについては、既に対応されているか、あるいは個別に対応を依頼しています。

しかし上記のように、この欠陥はサーバーだけでなくクライアントにも影響します。欠陥のあるクライアントソフトウェア(Web ブラウザや FTP ソフトなど)を使って悪意のあるサーバーに接続すると、クライアント内部のメモリーが読み取られ、アカウント情報(ユーザー名、パスワード)などが漏洩する可能性があります。

OS 標準の OpenSSL ライブラリの更新が必要なもの

Linux や FreeBSD といったフリー OS では OpenSSL が標準的に使用されているため、該当するバージョンの OpenSSL がインストールされていると、OS 全体が欠陥の影響を受けます。必ず更新してください。

OS名対象となるバージョンアドバイザリ
CentOS6.5CESA-2014:0376
Debianwheezy, jessie, sidDSA-2896-1
Fedora19, 20Status on CVE-2014-0160
FreeBSD10.0FreeBSD-SA-14:06
NetBSD6.0.x, 6.1.xNetBSD Security Advisory 2014-004
OpenBSD5.4, 5.55.4 patch, 5.5 patch
Red Hat6.5RHSA-2014:0376-1
Ubuntu12.04 LTS, 12.10, 13.10USN-2165-1

FreeBSD や NetBSD、OpenBSD、Mac OS X において、ports や pkgsrc、MacPorts といった 3rd パーティーソフトウェア管理パッケージを使用している場合は、そこでインストールしている OpenSSL についても更新が必要となる場合があります。

個別のアプリケーションソフトウェアの更新が必要となるもの

主に Windows 用のアプリケーションにおいて、独自に OpenSSL を使用しているために更新が必要となるものがあります。以下では更新済みバージョンを記載しています。

アプリケーション名更新済みバージョン、更新プログラムなど
FFFTP1.98g2
FileMakerFileMaker Server 13.0v1a, FileMaker Pro 13.0v3 および FileMaker Pro 13.0v3 Advanced, FileMaker Go 13.0.4
mod_spdyv0.9.4.2
VMwareResponse to OpenSSL security issue CVE-2014-0160
WinSCP5.5.3

ファームウェアの更新が必要となるもの

組み込み機器のファームウェアに OpenSSL が組み込まれている場合、ファームウェアの更新が必要となります。

ハードウェア名更新済みバージョン、更新プログラムなど
各社 AndroidAndroid 4.1.1 および 4.2.2 の一部が影響を受けます。確認アプリで影響の有無を確認した上で、端末メーカーにお問い合わせください
Apple AirMac Extreme、
AirMac Time Capsule
AirPort Base Station Firmware Update 7.7.3
QNAP Turbo NASQNAP が Heartbleed OpenSSL の脆弱性を修正するためのシステムアップデートを発表
Synology NASDSM 5.0-4458 アップデート 2, DSM 4.2-3248, DSM 4.3-3827 アップデート 2, VPN Server 1.2-2414 & 1.2-2318

利用しているサービスでの対応が必要となるもの

利用している Web サービスが Heartbleed バグの影響を受けていた場合、サービスが更新されたことを確認した後に、念のためにパスワードを更新した方がよいでしょう。

2011/12/12(月) FFFTP に欠陥、1.98d で修正

Windows

Windows 用の FTP クライアント FFFTP 1.98c 以前にセキュリティ上の欠陥が発見されました。ファイルの読み込み処理に欠陥があり、特定の条件においてマルウェア(ウイルス)を実行させられる恐れがあります。

この欠陥は FFFTP 1.98d で修正されています。FFFTP の利用者は更新して下さい。

FFFTP 1.98d では暗号化された FTP (FTPS) に対応しています。rins.st.ryukoku.ac.jp との接続では暗号化された FTP を利用できるため、通信の安全性が増します。その意味でも、更新を推奨します。

関連キーワード: FFFTP

2010/02/11(木) FTP クライアントや Web ブラウザなどに保存されたアカウント情報を盗むウイルス

FTP クライアントや Web ブラウザなどに保存されたアカウント情報(接続先、ユーザ名、パスワード)を盗むウイルス(マルウェア)が流行しています。

次の方法で対応してください。

ウイルスに感染しないようにしてください

ウイルスに感染しないようにするのが最大の防御です。詳細については、一部の研究室におけるウイルス感染被害について(つづき) を参照してください。

マスターパスワード機能を有効にしてください

いくつかのソフトウェアは「マスターパスワード機能」を搭載しています。マスターパスワード機能を設定すると、アカウント情報を暗号化して保存するため、ウイルスによるアカウント情報取得を阻止できます。

  • Firefox や Opera にはマスターパスワード機能があります。設定してください。Internet Explorer にはマスターパスワード機能はありませんが、ロボフォームなどの外部ツールを使うことで、マスターパスワードに対応できます。
  • FFFTP 1.97a、Explzh for Windows 5.58、WinSCP 4.2.5 にはマスターパスワード機能があります。利用者は、各ソフトを最新版に更新したうえで、マスターパスワードを設定してください。

ただし、キーボード入力を盗みとるウイルス(キーロガー)に対しては、マスターパスワードは無力です。上記したように、ウイルスに感染しないようにするのが最大の防御であることに注意してください。

なお、マスターパスワード機能のないアプリケーションには、アカウント情報を保存しない(少なくとも、パスワードは保存しない)ことを推奨します。

通信を暗号化してください

通信を盗聴することでアカウント情報を取得するウイルスが存在します。通信を暗号化することで、このようなウイルスによるアカウント情報取得を阻止できます。

FTP は簡単に盗聴されてしまいます。SFTP や SCP を使うことで通信を暗号化できます。SFTP / SCP に対応しているファイル転送ソフトウェアを利用してください。具体的には、たとえば

  • FFFTP は FTP にしか対応しておらず、通信を暗号化できません。
  • WinSCP は SFTP / SCP に対応しており、通信を暗号化できます。

TELNET や POP3、SMTP も簡単に盗聴されてしまいます。

  • TELNET のかわりに SSH を使う(Windows では Tera TermPuTTY の使用を推奨します)
  • POP3 や SMTP については、SSL 化した接続を行う(ほとんどの電子メールソフトで対応しています)

ことで、通信を暗号化できます。