「DROWN攻撃」の脆弱性が発覚、HTTPSサイトの33%に影響
攻撃を受ければ暗号を解除され、通信の内容を傍受される恐れがある。影響を受けるWebサイトには、日本の大手も含まれる。 インターネットの通信暗号化に使われるSSL/TLSプロトコルを使って通信を暗号化しているHTTPSサイトなどに深刻な脆弱性が発見された。研究チームはこの脆弱性を「DROWN」と命名し、3月1日に詳しい情報を公開。全HTTPSサイトの33%が影響を受けるとして、管理者に対応を急ぐよう呼び掛けている。 研究チームが専用サイトを通じて公開した情報によると、DROWN攻撃の脆弱性は、多くのサーバがTLSに移行しながら、設定ミスが原因で依然としてTLSの前身であるSSLv2もサポートしていることに起因する。 これまでは、SSLv2をサポートしているだけではセキュリティ問題が生じるとは考えられていなかったが、調査の結果、簡単に攻撃できてしまうことが判明し、サーバやクライアントが危険にさ
OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記
TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに 昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/Nodeに影響があるということが判明したので直ちにiojs/Nodeのアップデートを行い、今朝未明に無事脆弱性対応版をリリースしました。 今回が初めてではありませんが、深夜に日欧米のエンジニアがgithub上で互いに連携しながら速やかにセキュリティ対策のリリース作業を行うことは何回やってもなかなかしびれる経験です。時差もありなかなか体力的には辛いものがありますが、世界の超一流のエンジニアと共同でリア
HugeDomains.com
Captcha security check knlab.com is for sale Please prove you're not a robot View Price Processing
OpenSSLの更新版が公開――「Heartbleedほど悪くない」
OpenSSLの更新版が予告通りに公開された。危険度「高」に分類したサービス妨害(DoS)の脆弱性など計14件の脆弱性を修正している。 オープンソースのSSL/TLS実装ライブラリ「OpenSSL」の更新版が3月19日、予告通りに公開され、危険度「高」に分類したサービス妨害(DoS)の脆弱性を含め、計14件の脆弱性が修正された。米セキュリティ機関SANS Internet Storm Centerの専門家は「Heartbleedほどは悪くない」と解説している。 OpenSSLのセキュリティ情報によると、危険度の高いDoSの脆弱性はOpenSSL 1.0.2のみに存在する。悪用されればサーバに対してDoS攻撃を仕掛けられる恐れがある。この問題はバージョン1.0.2aで修正された。 また、強度の弱い輸出グレードのRSA鍵を使用させられてしまう脆弱性(通称「FREAK」)については、1月8日のセ
OpenSSL の Man-in-the-middle 攻撃可能な脆弱性の影響 – IIJ Security Diary
OpenSSL に Man-in-the-middle (MITM) 攻撃が可能な脆弱性 CVE-2014-0224 が発見され、日本時間2014年6月5日の夜に公開されました。そのアドバイザリでは合わせて7件の脆弱性が報告されていますが、本記事では脆弱性 CVE-2014-0224 を取り上げます。IIJ でも本脆弱性を調査した結果、MITM 攻撃が可能になるには条件があります。したがって、例えば使用している OpenSSL のバージョンや SSL/TLS 通信の利用の仕方に応じて、アップデートの緊急性を個別に検討する余地があります。 概要 本脆弱性による MITM 攻撃[1]MITM 攻撃とは、サーバとクライアントの間に攻撃者が割り込み、通信内容の盗聴や改ざんを行う攻撃です。では、サーバとクライアントの両方が OpenSSL を使っている場合に、その間にいる攻撃者が SSL/TLS ハ
OpenSSL、新たなパッチが公開--重大な脆弱性がまたも発見される
Larry Seltzer (Special to ZDNET.com) 翻訳校正: 編集部 2014-06-06 12:44 OpenSSLプロジェクトは、少なくとも1つの重大な脆弱性を含む、複数の脆弱性に対応するパッチのリリースを発表した。 最も重大な脆弱性は「SSL/TLS MITM」(SSL/TLS中間者(MitM)攻撃:CVE-2014-0224)だ。この脆弱性は、数年前に作り込まれたHeartbleedとは異なり、Heartbleedに対処したバージョンも含む、すべてのOpenSSLバージョンに含まれている。 OpenSSLのクライアント版すべてに脆弱性が存在している。OpenSSLサーバはバージョン1.0.1と1.0.2-beta1で脆弱性の存在が明らかになっている。この脆弱性は菊池正史氏(株式会社レピダム)によって発見され、JPCERT/CCを通じて米国時間5月1日にOpe
OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。 - piyolog
lepidum社の菊池氏がOpenSSLの実装に脆弱性があることを発見しました。この脆弱性はChangeCipherSpecメッセージの処理に欠陥があるもので、悪用された場合に暗号通信の情報が漏えいする可能性があると同社公開情報では説明されています。 尚、6月6日にレピダム社がクライアントの偽装を行う攻撃が行われる恐れについて危険がないことが確認されたとして訂正を行いました。それに伴い以下の内容も修正を加えています。(修正前の記事は魚拓を参照してください。) lepidum社 公開情報 当社で発見し報告をしたOpenSSLの脆弱性(CVE-2014-0224 )が公開されました。早急な更新が望まれる内容だと考えています。 #ccsinjection #OpenSSL 概要はこちらのページをご参照下さい。http://t.co/bhY7GpLZ2j— lepidum (@lepidum) 2
OpenSSL #ccsinjection Vulnerability
[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability 概要 OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。 対策 各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 (随時更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI 原因 OpenSSLのChangeCipherSpecメッセージの処理に発見
OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた - piyolog
HeartBleed(CVE-2014-0160)関係のリンク集、自分のメモ用なので不正確です。 HeartBleedの影響対象となるOpenSSLバージョン 以下のバージョンが影響を受けます。但し、システムによっては原因となっているheartbeat機能が無効化されている場合もあるため、バージョンが一致しただけで当該脆弱性の影響を受けるかは確定しません。 (1) OpenSSL 1.0.1系 バージョン名 リリース時期 CVE-2014-0160 OpenSSL 1.0.1 2012/03/14 脆弱性あり OpenSSL 1.0.1a 2012/04/19 脆弱性あり OpenSSL 1.0.1b 2012/04/26 脆弱性あり OpenSSL 1.0.1c 2012/05/10 脆弱性あり OpenSSL 1.0.1d 2013/02/05 脆弱性あり OpenSSL 1.0.1e
OpenSSL脆弱性にベンダーが状況公開、影響システムを探る動きも
「Heartbleed」問題でGoogleやMozilla、Amazon Web Servicesなどの各社が対応状況を説明。顧客側にもSSL証明書の入れ替えなどの対応を促している。 オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」に極めて深刻な脆弱性が見つかった問題で、影響を受ける企業が緊急対応に乗り出している。この脆弱性を悪用されるとパスワードや秘密鍵などの情報が流出する恐れがあり、攻撃を受けたとしても痕跡は残らない。 Googleは米国時間の9日までに、検索サービスやGmail、YouTube、Wallet、Play、Apps、App Engineなどの主要サービスで問題を修正したと発表した。ChromeとChrome OSは影響を受けないという。 Google Cloud PlatformやGoogle Search Appliance(GSA)については現在対応中
CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
RedHat の openssl がキモい - どさにっき
2010年3月4日(木) ■ $GENERATE _ BIND で使うゾーンファイルの書式は BIND が勝手に決めたわけではなく、実は RFCで規格化されている(なので、BIND だけじゃなくて NSD でも同じ書式。djbdns は独自形式だけど)。 _ とはいえ、BIND はそれを生のまま使ってるわけではなく、勝手な拡張もしている。 $GENERATEとか。これが何モノかというと、連番を自動生成するためのもの。 $GENERATE 1-10 host-$ IN A 192.0.2.$ ↑と↓は同義。 host-1 IN A 192.0.2.1 host-2 IN A 192.0.2.2 host-3 IN A 192.0.2.3 ... host-10 IN A 192.0.2.10 とっても楽ちん。ただし、$GENERATE はあくまでゾーンファイルの記述を簡略化するだけで、DNS
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch