Heartbleed
最近OpenSSLのheartbeatという機能にバグが見つかって、NHKのニュースなんかでも取り上げられるほどの騒ぎになっている。どうやら攻撃者がメモリを覗けてしまうようで、秘密鍵もバレてしまうような深刻なものらしい。
Heartbleed(ダジャレ?)って名前が付けられている。
Nodeへの影響
「Nodeはどうなんだろう」と思い調べると、基本的に影響はないらしい。Nodeは1年くらい前に別の理由でheartbeat機能を無効にしていたみたいだ。だから普通にコンパイルされたNodeそのものは安全。
ただし、Node以外の層とか使っているモジュールがOpenSSLを利用していた場合は個別に確認が必要だし、Nodeも使うOpenSSLをコンパイルオプションで指定していた場合は危険。
チェックツールがあるから、それ使えばとりあえず大丈夫かわかる。アウトだった時はどこが原因なのか調べないといけないけど。