0. 短いまとめ OpenSSL-1.1.0dに脆弱性(CVE-2017-3733)が見つかり、Encrypt-Then-Mac と renegotiation を組み合わせて crashさせることができました。 この脆弱性は、仕様の準拠不足や不適切な変数の cast などが原因でした。 TLS1.3ではこういう落とし穴が少なくなるよう機能の根本的な見直しが行われています。 1. はじめに 先週 OpenSSL-1.1.0d に対してセキュリティアップデートがあり、 Encrypt-Then-Mac renegotiation crash (CVE-2017-3733)という脆弱性(Severity: High)が公開されました。 対象となった 1.1.0 は、昨年2016年8月にリリースされたOpenSSLの新しいリリースブランチです。1.1.0ではAPIの大幅変更もあり、まだあまり普及
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2016-05-06 11:28 「OpenSSL」に2件の脆弱性が存在し、パッチが提供されたことが明らかになった。どちらの脆弱性も、セキュリティに重大な影響を及ぼす可能性がある。 暗号ライブラリであるOpenSSLは、有名なウェブサイトのSSLやTLSでも利用されており、これにはTwitter、GitHub、Tumblr、Steam、DropBoxなども含まれる。 OpenSSLが使われているのはウェブサイトだけではない。オープンソースの仮想プライベートネットワークである「OpenVPN」や、リモートからターミナルに安全にログインするために使用する「OpenSSH」の古いバージョンでも使用されている。 これは、セキュアなサーバを運用していれば、OpenSSLを利用している
2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 注意喚起 OpenSSL の複数の脆弱性に関する注意喚起 - JPCERT/CC SSLv2 DROWN Attack - US-CERT OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advisory [1st March 2016] OpenSSL version 1.0.1s published OpenSSL version 1.0.2g published An OpenSSL User’s Guide to DROWN 2016年3月1日公
1. はじめに、 昨日 OpenSSLのバージョンアップがアナウンスされ、9つの脆弱性が公開されました。バージョンアップの数日前にOpenSSLの次期リリース予告がアナウンスされていましたが、ちょうど BlackHat 開催初日にあたることもあり、なんかまた重大な脆弱性の修正が入るんじゃないかとドキドキしていました。蓋を開けてみるとHeatBleed程の大事ではなくホットひと安心です。 昨日公開されたOpenSSLの9つの脆弱性のうち、TLS プロトコルダウングレード攻撃 (CVE-2014-3511)の修正を見ていたところ、これはTLSプロトコルを学ぶいい題材になるなぁとふと思いつき、試しにこのOpensslの脆弱性の詳細をTLSプロトコルの基礎に合わせて書いてみました。 ちょっと長いですが、TLSプロトコルの仕組み(の一部)を知りたい方はお読みください。 2. OpenSSLの脆弱性
lepidum社の菊池氏がOpenSSLの実装に脆弱性があることを発見しました。この脆弱性はChangeCipherSpecメッセージの処理に欠陥があるもので、悪用された場合に暗号通信の情報が漏えいする可能性があると同社公開情報では説明されています。 尚、6月6日にレピダム社がクライアントの偽装を行う攻撃が行われる恐れについて危険がないことが確認されたとして訂正を行いました。それに伴い以下の内容も修正を加えています。(修正前の記事は魚拓を参照してください。) lepidum社 公開情報 当社で発見し報告をしたOpenSSLの脆弱性(CVE-2014-0224 )が公開されました。早急な更新が望まれる内容だと考えています。 #ccsinjection #OpenSSL 概要はこちらのページをご参照下さい。http://t.co/bhY7GpLZ2j— lepidum (@lepidum) 2
セキュリティに関するソフトウェア「OpenSSL」が、 最近Hearbleedによる非常に重大なセキュリティホールを抱えていることが暴露され、 それらが大量のウェブサイトに波及していることが判明し、 業界内を震撼させたのは記憶に新しい。 しかしAppleのiOSやOS XシステムやAppleのサービスは全て影響を受けていないという。 これはどのような方法を使ってそのHeartbleedの毒牙から逃れたのだろうか? 米国のテクノロジーブログ、 4月18日のApple Insiderの記事がその背景にある秘密の物語について述べている。 以下は要約に一部私の解説を足したものだ(にしてもちょっと長いのでお時間がある方はどうぞ)。 2011年、Appleは既にOpenSSLの使用を中止していた 2011年、Appleはデベロッパー向けに、 Apple自身がOpenSSLが入っているOS Xの共用デー
_ また勝手訳。だって誰もこの件を取りあげてくれないんだもん。適当なので原文にあたってください。原文は色もついてて綺麗だし。 _ http://www.tedunangst.com/flak/post/heartbleed-vs-mallocconf (4/8) heartbleed vs malloc.conf 約二年前に OpenSSL は新機能を導入しましたが、それは昨日まで皆さんが使ったことも聞いたこともなかったものでした。そう、プロセス内のメモリを読み出せるようにしてしまうバグが発見されるまでは。 heartbleed そのバグ heartbleed のメインサイトには大量の情報がありますが、バグそのものの詳細な説明はありません。そちらは Diagnosis of the OpenSSL Heartbleed Bug をご覧ください。 ここにも参考のため擬似的なショートバージョン
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く