OpenSSLに関するiR3のブックマーク (16)
-
iR3 2017/02/02
-
OpenSSLに再び脆弱性、MITM攻撃につながる恐れ
OpenSSLに再び脆弱性、MITM攻撃につながる恐れ:最初のリリースから16年間存在していた問題、修正版へのアップデートを推奨 オープンソースのSSL/TLS実装「OpenSSL」に、新たに複数の脆弱(ぜいじゃく)性が発見された。中にはMITM攻撃につながるおそれのある問題も含まれており、修正版0.9.8za/1.0.0m/1.0.1hへのアップグレードが呼び掛けられている。 オープンソースのSSL/TLS実装「OpenSSL」に、新たに複数の脆弱(ぜいじゃく)性が発見された。中にはMan-in-the-Middle(MITM)攻撃によって、暗号化通信の内容を第三者(=攻撃者)が読み取ったり、改ざんしたりすることができる深刻な脆弱性も含まれている。 開発元のOpenSSLプロジェクトは米国時間の2014年6月5日、セキュリティアドバイザリを公開し、6つの問題を修正したバージョン0.9.8
-
OpenSSL、新たなパッチが公開--重大な脆弱性がまたも発見される
Larry Seltzer (Special to ZDNET.com) 翻訳校正: 編集部 2014-06-06 12:44 OpenSSLプロジェクトは、少なくとも1つの重大な脆弱性を含む、複数の脆弱性に対応するパッチのリリースを発表した。 最も重大な脆弱性は「SSL/TLS MITM」(SSL/TLS中間者(MitM)攻撃:CVE-2014-0224)だ。この脆弱性は、数年前に作り込まれたHeartbleedとは異なり、Heartbleedに対処したバージョンも含む、すべてのOpenSSLバージョンに含まれている。 OpenSSLのクライアント版すべてに脆弱性が存在している。OpenSSLサーバはバージョン1.0.1と1.0.2-beta1で脆弱性の存在が明らかになっている。この脆弱性は菊池正史氏(株式会社レピダム)によって発見され、JPCERT/CCを通じて米国時間5月1日にOpe
-
CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 - OpenSSL #ccsinjection Vulnerability
菊池です。CCS Injection脆弱性(CVE-2014-0224)発見の経緯について紹介します。 バグの簡単な解説 OpenSSLがハンドシェーク中に不適切な状態でChangeCipherSpecを受理してしまうのが今回のバグです。 このバグはOpenSSLの最初のリリースから存在していました。 通常のハンドシェークでは、右の図のような順序でメッセージを交換します(RFC5246 The Transport Layer Security (TLS) Protocol Version 1.2 §7.3より作成)。 ChangeCipherSpecは必ずこの位置で行うことになっています。OpenSSLもChangeCipherSpecをこのタイミングで送信しますが、受信は他のタイミングでも行うようになっていました。これを悪用することで、攻撃者が通信を解読・改ざん可能です。 発見の困難さ
-
OpenSSL #ccsinjection Vulnerability
[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability 概要 OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。 対策 各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 (随時更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI 原因 OpenSSLのChangeCipherSpecメッセージの処理に発見
-
OpenSSL Valhalla Rampage
Many thanks to all of the awesome hackers that have made this release possible. Again, if you like the work that OpenBSD is doing, please donate here Provide a ressl config function that explicitly clears keys. Now that ressl config takes copies of the keys passed to it, the keys need to be explicitly cleared. While this can be done by calling the appropriate functions with a NULL pointer, it is s
-
OpenSSL後継の「LibreSSL」、OpenBSD以外への移植も前提に開発中
The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. 5月9日(協定世界時)、OpenBSD Journalに掲載された記事「LibreSSL Will be Portable」が、OpenBSDプロジェクトが開発を進めているTLS/SSL実装「LibreSSL」をOpenBSDのみならずほかのオペレーティングシステムへの移植が簡単になるように作業を進めていることを伝えた。例として取り上げられているのはOpenSSLのソースコードで発見された問題を解決するために追加されたreallocarray(3)を個別のファイルとして追加していることで、こうすることで移植時の作業を減らすことができるとされている。 OpenBSDプロジェクトはOpenSSHなどの開発も手が
-
ハートブリード - Wikipedia
ハートブリードのロゴ。ロゴと「心臓出血」の名称はこの問題に衆目を集めて、啓蒙するために作られた[1][2] ハートブリード(英語: Heartbleed)とは、2014年4月に発覚したオープンソース暗号ライブラリ「OpenSSL」のソフトウェア・バグのことである。当時、信頼された認証局から証明書が発行されているインターネット上のWebサーバの約17%(約50万台)で、この脆弱性が存在するHeartbeat拡張が有効になっており、サーバーの秘密鍵や利用者のセッション・クッキーやパスワードを盗み出すことが出来る可能性があった[3][4][5][6][7]。 OpenSSLの脆弱性がCVSレポジトリに混入したのは2011年12月31日であり、原因はロビン・セゲルマンが提出し[8][9]、OpenSSLの開発チームがレビュー[要曖昧さ回避](審査)[10] した善意のパッチ(改善コード)である。脆
-
-
-
OpenSSL の脆弱性に関する注意喚起
各位 JPCERT-AT-2014-0013 JPCERT/CC 2014-04-08(新規) 2014-04-11(更新) <<< JPCERT/CC Alert 2014-04-08 >>> OpenSSL の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140013.html I. 概要 OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの 脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付す ることでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得 する可能性があります。 管理するシステムにおいて該当するバージョンの OpenSSL を使用している場合 は、OpenSSL Project が提供する修正済みバージョンへアップデートすること をお勧めしま
-
-
Ruby 1.9.2 Segmentation Fault and OpenSSL
In one of my current project, whenever I ran a rake task that did a net/http request it was causing segmentation faults. $ bundle exec rake test:task $ /Users/cirish/.rvm/rubies/ruby-1.9.2-p290/lib/ruby/1.9.1/net/http.rb:678: [BUG] Segmentation fault ruby 1.9.2 (2011-06-30 patchlevel 290) [i686-darwin10.8.0] And it seems whenever I get a segmentation fault the first place I need to look is at Open
-
OpenSSL::SSL::SSLError: certificate verify failed open-uri
I wrote a web-crawler today for one of my other projects, and ran into the above problem “OpenSSL::SSL::SSLError: certificate verify failed”, well I was just collecting websites and didn’t really care about the validity of SSL certificates, so I just wanted a quick fix. Here it is: require ‘openssl’ OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE Essentially, I just change the constant for V
-
www.limber.jp - 主に IT関連情報を中心に更新中
要約 ATOKPad for mac が、外部ディスプレイや AirPlay でモニタ出力をした後に HotKeyを二回押下しても ATOKPadが表示されなくなる現象を直したい 内容 要約通りですが、ATOKPad for mac をすぐに表示できるメモ帳として永年使っているのですが、特に AirPlay でモニタ出力した後などに ATOK Pad が HotKey(私の場合は control に設定)を押下しても表示されなくなる(厳密にはどこかで表示されている)現象がたびたび起きていました。 で、いつもどうやって直しているのか忘れるので、メモっておきます。 設定が消えても良い人は ~/Library/Preferences/com.justsystems.ATOKPad.plist を消し、mac を再起動するか、後述する cfprefsd デーモンを再起動すれば直ります。 が、その代
-
OpenSSLのコマンドラインプログラムの使い方 - builder by ZDNet Japan
OpenSSLは単なるオープンソースのSSLライブラリの実装ではない。OpenSSLでは証明書の作成、要求、署名、取り消しを行える他、ファイルのハッシュ値の作成などの暗号処理や、SSLコネクションのテストなどさまざまなことが可能だ。今回の記事では、コマンドラインプログラムであるopensslで行える興味深い操作について見てみることにする。 メールサーバーへのSSLコネクションをテストするには、s_clientパラメタを使ってopensslコマンドを実行すればよい。 $ openssl s_client -connect smtp.myhost.com:25 -starttls smtp これは基本的に、smtp.myhost.comのポート25番に対し、STARTTLSを使ってtelnetに似たコネクションをオープンするものだ。これは双方向型のセッションなので、リモートのSMTPサーバにコ
-
1
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
