船からネズミが逃げはじめた模様:セキュリティホール memo》 セキュリティ研究者がICSとSCADAシステムの「デフォルト認証情報リスト」を公開 (THE ZERO/ONE, 1/26)。SCADA StrangeLove から。 》 WHO ジカ熱感染者400万人に上るおそれ (NHK, 1/29)、感染拡大する「ジカ熱」について知っておくべき事実 (ロイター, 1/29) 》 攻殻機動隊REALIZE x 官民連携サイバーセキュリティ月間 (JNSA)。読み切りマンガ「HUMAN-ERROR TRAPS」公開されてます。
OpenSSHにプライベートキー窃取につながる深刻な脆弱性
Secure Shellプロトコルを使ってリモート接続を行う際に使われるOpenSSHに、深刻な脆弱性が発見され、パッチが公開された。このセキュリティホールは、ユーザーが接続を復旧できるようにするための「実験的」な機能に含まれていた。 このセキュリティホールに関する情報が開示されたメーリングリストによれば、これを悪用することで、悪意のあるサーバが脆弱性のあるクライアントのメモリ内容(クライアントのプライベートキーを含む)のリークを引き起こさせることができる。 影響を受けるコードは、OpenSSHのクライアントバージョン5.4から7.1で、デフォルトで有効になっている。メーリングリストの情報によれば、この機能に対応するサーバ側のコードが公開されたことはない。 クライアント側のローミング機能が無効になっていれば、この問題の影響は受けない。 現在、セキュリティパッチ(バージョン7.1p2)が、O
sshによるユーザ列挙攻撃"osueta" - ろば電子が詰まつてゐる
ものすごく遅いレポートですが、先日、ゆるふわ勉強会こと さしみjp ささみjpの#ssmjp 2014/06 に参加させて頂きました。 この中で、@togakushiさんの発表「OpenSSH User EnumerationTime-Based Attack と Python-paramiko」が面白かったのでそのメモです。 osuetaとは何か OpenSSHでは、パスワード認証の際に長い文字列(目安で数万文字)を与えると、存在するユーザと存在しないユーザの場合で応答速度が変わってきます。環境によりこの時間差は結構違うようですが、私の試した範囲では、 存在するユーザの場合は数十秒 存在しないユーザの場合は数秒 で応答が返りました(この応答速度は目安です、もちろんマシンスペックによって違うでしょう)。これにより、複数のユーザでsshログイン試行をおこない、その応答時間を計測することでユー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
