JPCERTコーディネーションセンター(JPCERT/CC)は2014年4月8日、TLSやSSLを利用するためのライブラリ「OpenSSL」に見つかった情報漏えいの脆弱性について注意を呼びかけた。この脆弱性は、「OpenSSL」の開発を進める「OpenSSL Project」が4月7日(米国時間)に公表したもの。脆弱性を抱えたOpenSSLを利用するコンピュータに対して、悪意ある攻撃者がリモートから細工したパケットを送り付けると、メモリー上の情報が閲覧されてしまう危険がある。
影響を受けるバージョンは、OpenSSL 1.0.1~同1.0.1f、OpenSSL 1.0.2-beta~同1.0.2-beta1である。対策は、OpenSSL Projectが公開している脆弱性を修正したバージョンのOpenSSLを適用することだ。修正済みバージョンとしては、OpenSSL 1.0.1系列向けにOpenSSL 1.0.1gが公開されている。OpenSSL 1.0.2-beta系列については、現時点では修正済みのバージョンは存在しない。OpenSSL 1.0.2-beta2のリリース時に修正される見通しだ。
OpenSSLを含むOSやアプリケーションを利用しているユーザーは、当該ソフトウエアの提供元が公開するセキュリティ情報を確認し、必要なら修正プログラムを適用する必要がある。例えばJPCERT/CCは脆弱性に関する注意喚起の中で、Debian、Red Hat Enterprise Linux、Ubuntuなどのセキュリティ情報を紹介している。
運用上の理由などで修正プログラムの適用が難しい場合は、「-DOPENSSL_NO_HEARTBEATS」というオプションを有効にしたうえで、OpenSSLを再コンパイルするという回避策が推奨されている。
フィンランドのセキュリティ企業であるCodenomiconは、同社のWebサイトでこの脆弱性に関するQ&Aを公開している。それによると、この脆弱性はRFC6520で規定されたTLSのHeartbeat拡張を、OpenSSLに実装した際のバグに起因するもの。つまり、SSL/TLSのプロトコル規格そのものに関する脆弱性ではないという。
