JNSA「セキュリティしんだん」
(13)SSL再考(2014年12月19日) セコム株式会社 IS研究所 コミュニケーションプラットフォームディビジョン 暗号・認証基盤グループ 主任研究員 島岡 政基 1.暗号技術に対する攻撃の本格化 2009年のTLS再ネゴシエーション問題[renego2009]をはじめ近年SSL/TLSの脆弱性が話題となることが増えてきた。中でも2011年のBEAST[beast2011]、CRIME[crime2012]にはじまり、2013年の Lucky13[lucky2013]やRC4マルチセッション攻撃[rc4 2013]、今年に入ってからのPOODLE[poodle2014]などは、いずれもサイドチャネル攻撃や選択平文攻撃など暗号技術に特有の攻撃手法が応用された本格的な事例である。従来のバッファオーバーフローやコードインジェクションなどのような実行コードに対する攻撃だけでなく、暗号技術に対
[POODLE 対策] 2015 年 4 月よりInternet Explorer 11 でSSL 3.0 を既定で無効化します | MSRC Blog | Microsoft Security Response Center
This blog post is older than a year. The information provided below may be outdated. 更新情報 2015 年 4 月 15 日: Internet Explorer 11 では SSL 3.0 が既定で無効にするセキュリティ更新プログラムを、セキュリティ情報 MS15-032「Internet Explorer 用の累積的なセキュリティ更新プログラム (3038314)」で配信開始しました。詳細についてはマイクロソフト セキュリティ アドバイザリ 3009008 を参照してください。 -—————————————————————————————— セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」でお知らせしている SSL 3.0 プロトコルに存在している脆弱性
[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2 | MSRC Blog | Microsoft Security Response Center
This blog post is older than a year. The information provided below may be outdated. 本日、セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」でお知らせしている SSL 3.0 プロトコルに存在している脆弱性 (通称 POODLE) について、以下を追加でお知らせしました。 (1) SSL 3.0 を、Internet Explorer にて既定の構成で無効にし、オンラインサービス上で無効にする措置を、数か月の間に実施する予定です。 2014 年 12 月 1 日より、Azure および Office 365 にて、SSL 3.0 を無効化します。これにより、Azure および Office 365 を利用するクライアント端末およびブラウザーは、TLS1.0 以
自堕落な技術者の日記 : POODLE攻撃について本当にTLSv1.0なら安全なのか? - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 POODLE攻撃は、運用泣かせというか、SSLv3のサポートを本当に切っちゃっていいのか、レガシークライアントについて対応するのがいいのか、悩む所ですよね。ShellShock騒ぎさえまだうちでは収束していないのに・・・ POODLE攻撃は、「SSLv3の問題であってTLSv1.0以上では(パディングの方法が違うので)影響が無い」とされていますが、nahiさんからコメントもらって「実装依存だけどTLSv1.0でも危険な実装があるんじゃないの?」ということで、その事を書いてみたいと思います。 今回のPOODLE攻撃については、何が問題でどのようにすれば攻撃できるのかという、詳しい図入りの素晴らしく判りやすい解説をモバゲーさんが 「SSL v3.
SSL 3.0 の POODLE 脆弱性への対応について | Mozilla Japan ブログ
各所で報道されていますように、SSL 3.0 に深刻な問題が発見されました。POODLE と呼ばれるこの脆弱性を利用することで、攻撃者は SSLv3 の通信からパスワードや cookie のような情報を盗み取ることが可能になります。 これに対応するため、Mozilla は米国時間の 2014 年 11 月 25 日に公開が予定されている Firefox の次バージョンより SSLv3 をサポートせず、標準状態では利用できなくすることを決めました。この設定は、10/14 夜(米国時間)に公開された Nightly ビルドで既に有効になっています。また次々バージョンより SCSV と呼ばれる、TLS のダウングレード保護機構をサポートします。 来月 (2014 年 11 月)のアップデートまでは、SSLv3は標準で有効になっています。安全に Web を閲覧するためにも、SSL Version
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DeNA Engineering - DeNAエンジニアのポータルサイト
