OpenSSLにまた重度の欠陥、修正アップデートは3月19日にリリースCodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。
FREAK についてまとめてみた - piyolog
輸出グレードのRSA暗号をサポートしていたことに起因する脆弱性FREAKに関する情報について関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 FREAK (Factoring attack on RSA-EXPORT Keysの略) 輸出グレード暗号の強制使用に関する呼称 アイコン 無し CVE OpenSSL:CVE-2015-0204 Apple:CVE-2015-1067 Microsoft:CVE-2015-1637 発見者名 miTLS Inria(フランス国立情報学自動制御研究所)とMicrosoft Researchの合同チーム FREAK Attackの概要 中間者攻撃が行われるまでのFREAK Attackの流れは次の通り。(3月6日更新) MITMの攻撃成立条件 以下の条件が成立する場合、通信内容の盗聴や改ざんの影響を受ける可能性がある。 接続元・
華麗なる因数分解:FREAK攻撃の仕組み - ぼちぼち日記
1. はじめに ちょうど今朝 OpenSSLをはじめとした様々なTLS実装の脆弱性の詳細が公表されました。 この InriaとMSRのグループは以前からTLSのセキュリティに関して非常にアクティブに調査・検証をしているグループで、今回も驚きの内容でした。 このグループは、TLSのハンドシェイク時の状態遷移を厳密にチェックするツールを開発し、様々なTLS実装の脆弱性を発見・報告を行っていたようです。 特にFREAKと呼ばれるOpenSSLの脆弱性(CVE-2015-0204)に関しては、ちょうど修正直後の1月初めに Only allow ephemeral RSA keys in export ciphersuites で見ていましたが、具体的にどのように攻撃するのかさっぱりイメージできず、あのグループだからまた超絶変態な手法だろうが、まぁそれほど深刻じゃないだろうと見込んでいました。 今回
r/crypto - OpenSSL bug allows RSA 1024 key factorization in 20 minutes
Thankfully it's very easy to tell whether it's real. If anyone can publish the two, non-trivial factors of this number (where neither is 1!) then they'll have my attention: 0xe5c30e1286c41c7137dc06194199dde641120de591c1b7392de35ef6a961d6d29faa3bcdb7603d42768a90322197a7a46fa2cf23f6f10de5554db6e7322ba35e858f576f840347c795c8782c3f4ef9f530d2fd1f6b5c275ce49404958f0decddd0b53386d12c745891d5eeca1f265bdf8
OpenSSLの脆弱性(CVE-2014-3511)でTLSプロトコルの基礎を学ぶ - ぼちぼち日記
1. はじめに、 昨日 OpenSSLのバージョンアップがアナウンスされ、9つの脆弱性が公開されました。バージョンアップの数日前にOpenSSLの次期リリース予告がアナウンスされていましたが、ちょうど BlackHat 開催初日にあたることもあり、なんかまた重大な脆弱性の修正が入るんじゃないかとドキドキしていました。蓋を開けてみるとHeatBleed程の大事ではなくホットひと安心です。 昨日公開されたOpenSSLの9つの脆弱性のうち、TLS プロトコルダウングレード攻撃 (CVE-2014-3511)の修正を見ていたところ、これはTLSプロトコルを学ぶいい題材になるなぁとふと思いつき、試しにこのOpensslの脆弱性の詳細をTLSプロトコルの基礎に合わせて書いてみました。 ちょっと長いですが、TLSプロトコルの仕組み(の一部)を知りたい方はお読みください。 2. OpenSSLの脆弱性
GoogleがOpenSSLをフォークした「BoringSSL」を公開 | スラド セキュリティ
GoogleがOpenSSLをフォークし、「BoringSSL」として公開した(ImperialVioletブログの記事、 Ars Technicaの記事、 本家/.)。 Googleは何年もの間、OpenSSLに数多くのパッチを当てて使用していたという。一部のパッチはOpenSSLのメインリポジトリに取り込まれたが、大半はAPIやABIの安定性の問題があるなどの理由で取り込まれていなかった。AndroidやChromeなどの製品はパッチの一部を必要とするが、パッチは70以上もあるために作業が複雑になっていたそうだ。そのため、OpenSSLをフォークして、OpenSSL側の変更をインポートする方式に変更したとしている。BoringSSLは近いうちにChromiumのリポジトリに追加される予定で、いずれAndroidや内部的にも使われるようになる。ただし、BoringSSLではAPIやABI
OpenSSLに再び脆弱性、MITM攻撃につながる恐れ
OpenSSLに再び脆弱性、MITM攻撃につながる恐れ:最初のリリースから16年間存在していた問題、修正版へのアップデートを推奨 オープンソースのSSL/TLS実装「OpenSSL」に、新たに複数の脆弱(ぜいじゃく)性が発見された。中にはMITM攻撃につながるおそれのある問題も含まれており、修正版0.9.8za/1.0.0m/1.0.1hへのアップグレードが呼び掛けられている。 オープンソースのSSL/TLS実装「OpenSSL」に、新たに複数の脆弱(ぜいじゃく)性が発見された。中にはMan-in-the-Middle(MITM)攻撃によって、暗号化通信の内容を第三者(=攻撃者)が読み取ったり、改ざんしたりすることができる深刻な脆弱性も含まれている。 開発元のOpenSSLプロジェクトは米国時間の2014年6月5日、セキュリティアドバイザリを公開し、6つの問題を修正したバージョン0.9.8
我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita
HTTPS通信は複数のプロトコル、手法が組み合わされて実現されている。そのため、暗号化手法それぞれのリスク、ブラウザの対応等様々な用件があり、全てを理解するにはちょっと時間とリソースが足りない。結局のところ、我々はどのようにして安全なHTTPS通信を提供できるのか。色々調べていたところ、MozillaがMozilla Web siteに使用する、HTTPSの推奨設定を公開している。 Security/Server Side TLS - MozillaWiki このドキュメントはMozillaのサーバ運用チームが、Mozillaのサイトをより安全にするために公開しているもので、他のサイトにそのまま適用できるかは十分に注意する必要がある。例えばガラケー向けサイトとか。そのまま使えないとしても、HTTPS通信の設定をどうすれば良いか、理解の一助になるはずだ。 この記事は上記MozillaWiki
OpenSSLにはこんなに問題が! LibreSSL開発者が発表 - BSDCan2014
The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. OpenBSDプロジェクトの開発者でありLibreSSLの開発に携わっているBob Beck氏は5月17日(カナダ時間)、「BSDCan2014: LibreSSL」においてLibreSSLの開発がはじまってからのおおよそ30日間のできごとを伝えた。なぜOpenSSLからLibreSSLを派生させ別プロジェクトとして取り組むことにしたのか、具体的にどういった変更を実施したのかなどが説明された。プロジェクトを立ち上げるきっかけはHeartbleed脆弱性が決め手だったのではなく、そのあとに取り組んだ作業によって別プロジェクトにするという判断が決定的なものになったと説明があった。懸念された点は特に次のとおり。
HeartbleedにStrutsにIE……脆弱性に振り回された1カ月
連載目次 2014年4月はWindows XPのサポート終了が一番の話題であるはずが、それよりも大きな問題が2つも起こってしまいました。Heartbleedと呼ばれるOpenSSLの脆弱性、そしてApache Strutsの脆弱性です。 OpenSSLの脆弱性もApache Strutsの脆弱性も多数のWebサイトで発生したため、セキュリティクラスターのほとんどの人が何かしらの影響を受けたようでした。Apache Strutsの脆弱性では「修正が不十分である」との発表を行った会社が方々から叩かれるという、これまでにあまりないことが起こりました。 そして大型連休を控えた月末には、Windows XPにも影響がある危険な脆弱性が発見され……最後まで脆弱性に振り回された1カ月でした。
404 Found――Webをセキュアに、ネットをセキュアに
404 Found――Webをセキュアに、ネットをセキュアに:OWASP AppSec APAC 2014レポート(1/2 ページ) Webサーバーを構成するソフトウェアやWebアプリケーションは頻繁に外部からの攻撃にさらされ、新たな脆弱性も発見されている。3月に開催された「OWASP AppSec APAC 2014」では、Webをセキュアなものにしていくために何が必要で、どんなポイントに注意すべきかといった知見が共有された。 ちょっとしたものを購入するとき、旅行のチケットを予約するとき、あるいは振り込みを行うとき……さまざまなシーンで私たちは当たり前のようにWebを利用している。もしWebという仕組みが意図した通りに動作しなくなったり、セキュリティ面で問題が発生したりしてしまえば、日常生活に大きな支障が生じるほど浸透している。 一方で、Webサーバーを構成するソフトウェアやWebアプリ
Heartbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ
Heartbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ2014.04.24 18:00 satomi サイトがじわじわ来ますね…。 OpenSSLのヘマでHeartbleedなんてバグができてしまい、コードを虱潰しに当たっていたテオ・デ・ラート氏率いるOpenBSDプロジェクトが「こりゃ修復不能だ」と判断、フォーク版「LibreSSL」の開発に乗り出しました。 Ars Technicaからのメール取材に対し、ラート氏はOpenSSLのダメっぷりをこのように書いています。 うちのグループでは1週間かけてOpenSSLのソースツリーのうち半分を削除した。どれも食い残しをそのまま散らかしてるみたいな不要なところさ。 オープンソースのモデルでは、コードがわかる人間が頼みだ。透明性が頼み。ところがこれがまったくクリアなコードベースじゃないわけよね。なぜってあいつ
LibreSSL
LibreSSL 3.8.2 released November 2nd, 2023 LibreSSL is a version of the TLS/crypto stack forked from OpenSSL in 2014, with goals of modernizing the codebase, improving security, and applying best practice development processes. Primary development occurs inside the OpenBSD source tree with the usual care the project is known for. On a regular basis the code is re-packaged for portable use by other
発見企業が語る、Heartbleedの残した「教訓」
「Heartbleed」脆弱性を発見した企業の1つが、フィンランドのセキュリティ企業、Codenomiconだ。同社の極東事業開発ディレクター、チャンギュウ・キム氏に経緯を聞いた。 OpenSSLに発見された「Heartbleed」の脆弱(ぜいじゃく)性を受けて、多くの企業がバージョンアップ、SSLサーバー証明書の失効処理および再発行、ユーザーへの呼び掛けといった対策を進めている。インターネット上のWebサイトを解析しているAlexa Internetがまとめている利用者数の多いWebサイトを示すリストを基にシマンテックが調査を行ったところ、上位1000サイトは既に対策済みで、上位5万サイトに範囲を広げても、脆弱なシステムは1.8%程度にまで減少しているということだ(関連記事)。 この脆弱性は、米グーグルと、フィンランドのセキュリティ企業であるCodenomiconがそれぞれ独自に発見した
AppleのデバイスはなぜHeartbleedの被害を免れたのか? | 小龍茶館
セキュリティに関するソフトウェア「OpenSSL」が、 最近Hearbleedによる非常に重大なセキュリティホールを抱えていることが暴露され、 それらが大量のウェブサイトに波及していることが判明し、 業界内を震撼させたのは記憶に新しい。 しかしAppleのiOSやOS XシステムやAppleのサービスは全て影響を受けていないという。 これはどのような方法を使ってそのHeartbleedの毒牙から逃れたのだろうか? 米国のテクノロジーブログ、 4月18日のApple Insiderの記事がその背景にある秘密の物語について述べている。 以下は要約に一部私の解説を足したものだ(にしてもちょっと長いのでお時間がある方はどうぞ)。 2011年、Appleは既にOpenSSLの使用を中止していた 2011年、Appleはデベロッパー向けに、 Apple自身がOpenSSLが入っているOS Xの共用デー
三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみた - piyolog
三菱UFJニコスのWebサイトが不正アクセスを受け、会員情報が不正に閲覧されたと発表しました。ここでは関連する情報をまとめます。 概要 2014年4月11日に三菱UFJニコスが自社Webサイトで不正なアクセスを検知し、Webサイトを停止。その後詳細な調査結果として、4月18日に第3報を公開し、そこでOpenSSLの脆弱性(恐らくCVE-2014-0160)を悪用した不正アクセスであったことを報告。 三菱UFJニコスの不正アクセスに関連した発表 2014/4/11 弊社Webサイトへの不正アクセスについて(PDF) 2014/4/12 不正アクセスに伴い停止させていただいた弊社Webサービス再開のお知らせと会員様へのお願い(PDF) 2014/4/18 弊社会員専用WEBサービスへの不正アクセスにより一部のお客さま情報が不正閲覧された件(PDF) (1) 被害状況 不正閲覧会員数 894名(
暗号化ソフト狙った攻撃で情報流出か NHKニュース
インターネットで広く利用されている暗号化ソフトに重大な欠陥が見つかった問題で、大手カード会社「三菱UFJニコス」のホームページがこの欠陥を狙った不正アクセスを受け、のべ894人分の個人情報が外部に流出した可能性のあることが分かりました。 ソフトの欠陥が確認されてから国内で被害が明らかになるのは今回が初めてです。 三菱UFJニコスによりますと、今月9日から11日にかけて、ホームページに不正な通信が繰り返されたため調べたところ、「OpenSSL」と呼ばれる無料の暗号化ソフトの欠陥を狙った不正アクセスが確認されたということです。 この不正アクセスで、クレジットカードを所有する会員のべ894人分のカード番号の一部や、氏名、住所それに電話番号などが不正に閲覧され、外部に流出した可能性があるということです。 これまでのところカードが不正に使われたケースは確認されていないということですが、三菱UFJニコ
OpenOpenSSL
the main OpenOpenSSL pageAbout OpenOpenSSL Project Goals Hardware Platforms Daily Changelog Security Crypto Events Papers Press Commercial Support Getting OpenOpenSSL CDs/T-shirts/Posters Getting Releases Installing OpenOpenSSL Getting Source AnonCVS CVSync Web OpenOpenSSL Resources Manuals FAQ Patches Reporting Mailing Lists Application Packages Books that Help Supporting Open
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL/TLSライブラリ「OpenSSL」の最新版v1.0.1j/v1.0.0o/v0.9.8zcが公開
セキュリティ診断・検査のGMOサイバーセキュリティ byイエラエ
