OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記
TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに 昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/Nodeに影響があるということが判明したので直ちにiojs/Nodeのアップデートを行い、今朝未明に無事脆弱性対応版をリリースしました。 今回が初めてではありませんが、深夜に日欧米のエンジニアがgithub上で互いに連携しながら速やかにセキュリティ対策のリリース作業を行うことは何回やってもなかなかしびれる経験です。時差もありなかなか体力的には辛いものがありますが、世界の超一流のエンジニアと共同でリア
暗号化ソフト狙った攻撃で情報流出か NHKニュース
インターネットで広く利用されている暗号化ソフトに重大な欠陥が見つかった問題で、大手カード会社「三菱UFJニコス」のホームページがこの欠陥を狙った不正アクセスを受け、のべ894人分の個人情報が外部に流出した可能性のあることが分かりました。 ソフトの欠陥が確認されてから国内で被害が明らかになるのは今回が初めてです。 三菱UFJニコスによりますと、今月9日から11日にかけて、ホームページに不正な通信が繰り返されたため調べたところ、「OpenSSL」と呼ばれる無料の暗号化ソフトの欠陥を狙った不正アクセスが確認されたということです。 この不正アクセスで、クレジットカードを所有する会員のべ894人分のカード番号の一部や、氏名、住所それに電話番号などが不正に閲覧され、外部に流出した可能性があるということです。 これまでのところカードが不正に使われたケースは確認されていないということですが、三菱UFJニコ
OpenSSLの重大バグ「Heartbleed」発覚に伴い、あなたが今すぐパスワードを変更するべきサービス一覧 | ゴリミー
先日、OpenSSLの重大バグ「Heartbleed」が発覚し、ネット上で大騒ぎとなっていた。非常に深刻な脆弱性となっているため、ネット上の様々なサービスが被害を被っている。 詳しくはTechCrunch Japanに書いてあるが、これは従来「安全」とされていたセキュリティにおける重大な欠陥であり、決して他人事では済まされない話だ。 セキュリティー研究者らが “Heartbleed“と呼ぶそのバグを悪用すると、過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、システムメモリー上にある大量のデータを暴露することが可能だ。 これがどういうことかと言うと、パスワード入力時に「*」などの文字で他人に読み取れないように置き換えられていたはずのパスワードが第三者に読み取れる可能性がある、ということだ。つまり、パスワードを盗み見できてしまうのだ。ハッキリ言ってこれは極めて危険。 あなたが
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
