ひよこ3分07秒のTechブログ

Twitter icon Feed icon

NodeにHeartbleedバグは影響するか

Heartbleed

最近OpenSSLのheartbeatという機能にバグが見つかって、NHKのニュースなんかでも取り上げられるほどの騒ぎになっている。どうやら攻撃者がメモリを覗けてしまうようで、秘密鍵もバレてしまうような深刻なものらしい。

Heartbleed(ダジャレ?)って名前が付けられている。

Nodeへの影響

「Nodeはどうなんだろう」と思い調べると、基本的に影響はないらしい。Nodeは1年くらい前に別の理由でheartbeat機能を無効にしていたみたいだ。だから普通にコンパイルされたNodeそのものは安全。

ただし、Node以外の層とか使っているモジュールがOpenSSLを利用していた場合は個別に確認が必要だし、Nodeも使うOpenSSLをコンパイルオプションで指定していた場合は危険。

チェックツールがあるから、それ使えばとりあえず大丈夫かわかる。アウトだった時はどこが原因なのか調べないといけないけど。

参考