Research indicates that carbon dioxide removal plans will not be enough to meet Paris treaty goals
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 もくじ 1. はじめに 2. SSLv3を無効化できる場合のサーバー対策 2.1. Apache HTTPD Server + mod_ssl 2.2. Apache HTTPD Server + mod_nss 2.3. nginx 2.4. lighttpd 2.5. Microsoft IIS 2.6. (訂正)Apache Tomcat (Java JSSE) 2.7. Node.js 2.8. IBM HTTP Server 2.9. Amazon Web Services 2.10. その他のサーバー 2.11. SSLv3 を無効化するリスク 2.12. OpenLDAP 3. 諸般の事情で SSLv3 を有効にせざるを得ない場
HTTPSというかTLSで新しく見つかった脆弱性が話題になっている?ので対策をしてみた。 Diffie-Hellman 鍵交換に関する脆弱性に対する攻撃の様でLogjam Attackという名前だそうです。 TLS接続の暗号強度を512にビット下げられてしまうので盗聴されやすくなるとのこと。 SSL/TLSをサポートするトップ100万ドメインのうち、約18%にこの脆弱性があるということなので結構影響範囲大きそうです。 取り敢えずDHグループを2048ビット以上で作成するのとDHE_EXPORTを拒否にすれば良いようです。 ただし、Apache2.4系やNginxは素直にそれで良いようですが、Apache2.2はダメそう。 Apache2.2の場合は以下のようにDHEを無効にするという対策にしました。
昨日は鍵共有を甘く見て爆死したためCentOS+NginxのサーバーをWindows環境に対応させてみる。 RPMに慣れていた都合上、主なサーバーにCentOS6を使っている。 CentOS/RHEL6.4では2013年10月時点で、標準のOpenSSLは1.0.0、Nginxは1.0系が導入される。Nginxには公式リポジトリもあるが、openssl-1.0.0を前提にビルドされている。 これらはコミュニティサポートのあるRPMで提供されているものの、NginxでHTTPSサーバーを建てようとすると、TLSはv1.0 まで、対応cipherはDHE-RSA-AES-SHAまでになり、QualsysのSSLテストでは色々と指摘される。 問題点 既存のパッケージで対策不能なのは、TLS1.2対応(兼BEAST対策)とRSA鍵共有。 BEASTは未対策のブラウザがTLSv1.0以前のCBCモー
Webサーバ確認 The Logjam Attack に、 Logjam Server Test のリンクがあります。 ここでサーバの脆弱性テストが行えます。 Guide to Deploying Diffie-Hellman for TLS Guide to Deploying Diffie-Hellman for TLS の Test A Server 欄にチェックしたい サーバのURLを入力し、[ Go ] ボタンをクリックします。 Insecure DHE_EXPORT が No になっていない ( Supported! の ) 場合、Logjam 脆弱性の影響を受ける事になります。 No の場合でも、DHE が 2048 ビット未満の場合には警告表示がなされるようです。 この場合、同ページ下に対策 ( 後述 ) が記されるので、サーバの要件等に従って対策を行うか検討しましょう。
*****.jp への接続中にエラーが発生しました。 SSL received a weak ephemeral Diffie-Hellman key in Server Key Exchange handshake message. (エラーコード: ssl_error_weak_server_ephemeral_dh_key) 受信したデータの真正性を検証できなかったため、このページは表示できませんでした。 この問題を Web サイトの管理者に連絡してください。 先日まで見られていたのに、突然ページが見られなくなった。 どうもFirefoxのバージョンが変わって、セキュリティが厳しくなったせいらしい。 スマホでつないだら、 「このサイトのセキュリティ証明書には問題があります ×この証明書は信頼できる認証機関のものではありません」 とかってアラームが出た。(Android2.3.3) で
Diffie-Hellman(DH)鍵交換の脆弱性を使ったTLSプロトコルに対する攻撃「Logjam Attack」に関する情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 Logjam Attack (攻撃手法の愛称) Webサイト https://weakdh.org/ アイコン 無し CVE CVE-2015-1716(Microsoft) 発見者名 次の合同チームにより発見 フランス国立科学研究センター(CNRS) フランス国立情報学自動制御研究所(INRIA) Microsoft Research ジョンズホプキンス大学 ミシガン大学 ペンシルバニア大学 Logjam Attackの概要 Diffie-Hellman(DH)鍵交換の脆弱性。この脆弱性を用いて中間者攻撃が行われている環境において、TLS接続を512bitの輸出グレード暗号にダウングレードし、通信経
Published May 2015 Our study finds that the current real-world deployment of Diffie-Hellman is less secure than previously believed. This page explains how to properly deploy Diffie-Hellman on your server. We have three recommendations for correctly deploying Diffie-Hellman for TLS: Disable Export Cipher Suites. Even though modern browsers no longer support export suites, the FREAK and Logjam atta
セキュリティに配慮したサイトを作成するための最新資料「安全なウェブサイトの作り方」の改訂第7版を、独立行政法人情報処理推進機構(IPA)が3月16日に公開した。 「安全なウェブサイトの作り方」は、IPAに対する届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性についての対策を、サイト開発者・運営者向けに教示する、全114ページの資料だ。2012年12月の改訂第6版から、およそ2年3か月ぶりに改訂された。 「安全なウェブサイトの作り方 改訂第7版」表紙 改訂第7版の内容は、以下の3章で構成されている。 第1章「ウェブアプリケーションのセキュリティ実装」SQLインジェクション、OSコマンド・インジェクションやクロスサイト・スクリプティングなど、11種類の脆弱性の特徴、根本的な解決策、攻撃による影響の低減を期待できる対策を解説。 第2章「ウェブサイトの安全性向上のための取り組み」サーバーの
既に日本でも報道されているように、著名なCMSであるDrupalのバージョン7系にはSQLインジェクション脆弱性があります(通称 Drupageddon; CVE-2014-3704)。この脆弱性について調査した内容を報告します。 ログイン時のSQL文を調べてみる MySQLのクエリログを有効にして、Drupaのログイン時に呼び出されるSQL文を調べてみます。リクエストメッセージは以下となります(一部のヘッダを省略)。 POST /?q=node&destination=node HTTP/1.1 Host: xxxxxxx User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0 Cookie: has_js=1; Drupal.toolbar.collapsed=0 Conn
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 EC-CUBEで脆弱性を見つけたり、mixiの脆弱性報告制度で成果を挙げたりしたせいか、「どうやって脆弱性を見つけてるんですか?」という質問をされることが時折あり、一応手順は説明するのですが、いつも口頭で細かくは説明できなくて申し訳ないので、自分のやり方をまとめてこのブログにアップしておきます。 標準的な脆弱性検査のやり方しか説明していないので、脆弱性検査のやり方を既に把握している人が読んでも得るものは少ないのではないかと思います。今回は脆弱性検査に興味があるが何をどうしたらいいか分からないような初心者向けコンテンツで
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
2013年12月ごろから、新たなDDoS攻撃▼(Distributed Denial of Service attack)がセキュリティおよびネットワーク技術者の間で話題となっている。このDDoS攻撃の特徴は、サーバーやネットワーク機器で一般的に利用されている「時刻同期(NTP)」の仕組みを悪用する点だ。 ▼DDoS攻撃とは、複数のコンピュータから攻撃対象に向かって一斉にパケットを送信し、攻撃対象のコンピュータの処理能力をオーバーさせ、本来提供しているサービスを利用できなくしてしまう攻撃のこと。 NTPとはNetwork Time Protocolの略で、パソコンやサーバー、ネットワーク機器などが正確な時刻を取得するためのプロトコルである。時刻を合わせたいNTPクライアントが、時刻情報を配信するNTPサーバーに問い合わせて正確な時刻を取得する。NTPサーバーソフトとしては、NTP Proj
この投稿はPHP Advent Calendar 2013の13日目の記事です。昨日は@tanakahisateruのPHPが糞言語なのはどう考えても参照をポインタだと思っているお前らが悪いでした。 現在twitterのタイムラインで、史上空前のSQLのエスケープブームが起こっています。 オレオレSQLセキュリティ教育は論理的に破綻している | yohgaki's blog 「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」 - Togetterまとめ エスケープとプレースホルダをめぐる議論 - Togetterまとめ SQLインジェクション対策としてのプリペアドステートメントとエスケープについての議論 - Togetterまとめ IPAの「安全なSQLの呼び出し方」が安全になっていた | yohgak
ウェブ改ざんに繋がる脆弱性等をコストをかけずに検査する、3種のツールの使い勝手を比較 2013年12月12日 独立行政法人情報処理推進機構 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ウェブサイトの脆弱性を検査するオープンソースのツール3種の評価を行い、ツールの特徴と使用における留意点をまとめたレポート「ウェブサイトにおける脆弱性検査の紹介(ウェブアプリケーション編)」を2013年12月12日からIPAのウェブサイトで公開しました。 2013年は、ウェブアプリケーションやウェブサイトを構成するミドルウェアの脆弱性が原因で、多数のウェブサイトで改ざんや情報漏洩などが発生しました。例えば、ユーザが改ざんされたウェブサイトを閲覧し、ウイルスに感染した場合、ウェブサイトを運営する組織は、ユーザへの謝罪や風評対策などの対応を迫られることになります。 現在、ウェブサイトを持たない組織
書き換え事件でも使われた? WordPressプラグインの脆弱性とシンボリックリンク:試してみなけりゃ分からない? 古いWebアプリの脆弱性(4)(1/4 ページ) 前回の記事「CMSに残る反射型XSSを使ったセッションハイジャック」でも紹介したとおり、CMS(Contents Management System)の脆弱性を狙った攻撃が後を絶たないようだ。 中でも話題となっていたのが、共用レンタルサーバを狙った広範囲の書き換え攻撃だ。「共用」という性質もあって、同一のサーバを使用していた複数のユーザーのデータが横断的に書き換えられた点が、2010年代には逆に新しい。この事件で、忘れかけていた昔の設定方法を思い出した方も多かったのではなかろうか。どうやらこの事件を起こしたのは愉快犯だったらしく、書き換え以外に大きな実害はなかったようだが、それでも今さらながら、共用レンタルサーバの怖さに気づい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く