HeartBleed(CVE-2014-0160)関係のリンク集、自分のメモ用なので不正確です。 HeartBleedの影響対象となるOpenSSLバージョン 以下のバージョンが影響を受けます。但し、システムによっては原因となっているheartbeat機能が無効化されている場合もあるため、バージョンが一致しただけで当該脆弱性の影響を受けるかは確定しません。 (1) OpenSSL 1.0.1系 バージョン名 リリース時期 CVE-2014-0160 OpenSSL 1.0.1 2012/03/14 脆弱性あり OpenSSL 1.0.1a 2012/04/19 脆弱性あり OpenSSL 1.0.1b 2012/04/26 脆弱性あり OpenSSL 1.0.1c 2012/05/10 脆弱性あり OpenSSL 1.0.1d 2013/02/05 脆弱性あり OpenSSL 1.0.1e
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private network
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
By robotpolisher 日本時間4月9日(水)にWindows XPのサポートは切れることになりますが、4月9日以降もXPを安心して使い続けられるよう、イギリスとオランダの政府がMicrosoftと延長サポートの契約を交わしたことが明らかになりました。 Not dead yet: Dutch, British governments pay to keep Windows XP alive | Ars Technica http://arstechnica.com/information-technology/2014/04/not-dead-yet-dutch-british-governments-pay-to-keep-windows-xp-alive/ Government signs £5.5m Microsoft deal to extend Windows XP s
9日でサポート期間が終わり、インターネット接続でウイルス感染などが懸念される米マイクロソフト社の基本ソフトウェア(OS)「ウィンドウズXP」について、札幌市教委が、市立小中学校などに配備している約1万台を後継OSに更新せず、10日以降も使用することが分かった。 大半が授業で使う教育用で個人情報は保存しておらず、ウイルス対策ソフトなどを活用してインターネット接続する。ただ、情報セキュリティー会社は「ウイルス対策ソフトも万全ではない」と危険性を指摘している。 サポート終了に備え、総務省は全国の自治体に更新前のパソコンの使用自粛を通知している。 市教委によると、学校に配備されているパソコンは、児童、生徒の成績処理などに使う校務用が1万348台、児童がキーボードの使い方を学んだり、生徒が修学旅行先の歴史や文化を調べたりする教育用が2万448台。昨年度、約5200万円をかけて校務用を優先して更
By Dick_Wu セキュリティリサーチャーのIbrahim Balicさんは、GoogleのAndroid OSにメモリをクラッシュさせる恐れのある脆弱性を発見しました。その後Trend MicroがBalicさんの発見した脆弱性を調査したところ、悪意あるハッカーによって、ユーザー自身がデバイスに保存されたデータを全消去してしまうようなアプリの作成が可能であることが判明しています。 Android Vulnerability affected Google Play Bouncer (Emulator) | Ibrahim BALİÇ http://ibrahimbalic.com/2014/android-vulnerability-affected-google-play-bouncer-emulator/ New Android Bug Causes Bricked Device
WPA2 wireless security cracked Date: March 20, 2014 Source: Inderscience Summary: There are various ways to protect a wireless network. Some are generally considered to be more secure than others. Some, such as WEP (Wired Equivalent Privacy), were broken several years ago and are not recommended as a way to keep intruders away from private networks. Now, a new study reveals that one of the previou
一昨日書いた記事に対する補足です。 まず、最初にBGPハイジャックそのものは、世界各所で毎月のように発生しており、別に珍しくもない話です。 そのほとんどが、意図的にトラフィックを乗っ取る目的で行われたものではなく、単なるオペレーションミスであると言われています。 BGPハイジャックで有名なのが、2008年にYouTubeへのトラフィックをパキスタンのISPが吸い込んでしまった事件(参考:RIPE-NCC: YouTube Hijacking: A RIPE NCC RIS case study)ですが、これも意図的にやったのではなく、パキスタン国内向けのネット検閲設定が外部に漏れてしまったというオペレーションミスだったと思われます。 オペレーションミスは、漏らしてしまった側だけではない可能性もあります。 そもそも、/32などのプレフィックス長を持つ経路はフィルタされていることが多いので、普
言うこと聞かないと「気合」。県史も認める佐渡金山の朝鮮人強制労働、その痕跡を歩く 世界遺産登録へ「負の歴史」をどう説明するか
お客様各位 さくらインターネット株式会社 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 弊社では、「さくらのレンタルサーバ(マネージドサーバ、メールボックス含む)」サー ビスにおいて海外から多発する不正なアクセスを防ぐため、国外IPアドレスからのアク セスを制限する「国外IPアドレスフィルタ設定」機能の提供を2014年3月13日より順次 行います。 本機能による制限範囲は限定し、サービスのご利用や海外から接続を行うお客様に影響 がないよう、機能を無効化することも可能です。 詳細は下記をご参照ください。 サーバーのセキュリティ・安定性を高め、お客様により安心してご利用いただくため の対策となりますので、何卒ご理解とご協力をお願いいたします。 さくらインターネットでは、今後もよりよいサービスの提供が行えるよう、精一杯努 めて参ります。引き続き変わらぬご愛顧を賜り
掲載当初、「Firefox、プラグイン廃止へ」というタイトルの下、「プラグインを削除する方向で作業を進めている」と記述しておりましたが、誤りであったため修正いたしました。ご迷惑をおかけした読者の皆様ならびに関係各位に深くお詫び申し上げます。 Mozillaは「Mozilla Security Blog - Update on Plugin Activation」において、セキュリティ強化を目的として、Firefoxのプラグイン(メディアの再生などで必要になるソフトウェアの追加機能)不使用を強化する方向で作業を進めていることを伝えた。 Firefoxでは以前から対応を進めており、現在のバージョンではプラグインはデフォルトで無効。プラグインの使用が必要になるページを開くとプラグインを有効にするかどうかをたずねる「click-to-play」という機能が動作する仕組みになっている。記事ではWeb
インターネットで検索するだけで、セキュリティー対策が十分でない機器を探し出すことができることから、ハッカーの攻撃の足がかりになるとして、「闇グーグル」などと呼ばれるサイトがあります。これまで脅威と捉えられることが多かったこのサイトですが、賢く利用すれば、逆に攻撃の糸口を断ち切ることにつながると活用を呼びかける対策を、独立行政法人の情報処理推進機構がまとめました。 このサイトは、2009年に登場した「SHODAN」というインターネットサービスです。 定期的にインターネットを巡回しては、ネット上の住所に当たるIPアドレスなどを手がかりに、ネットに接続された機器の情報をデータベースに収めています。 検索できる機器はパソコンやサーバーだけでなく、オフィス機器や情報家電、さらには発電所の制御機器まで、およそ5億台に上ります。 もともと研究目的で開発されたということで、誰でも利用できます。 最大の特徴
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く