BSDの標準ライブラリに脆弱性、FreeBSDやAppleに影響
BSDの標準ライブラリ「BSD libc」に脆弱性が発見され、修正のためのアップデートが公開された。米セキュリティ機関CERT/CCの12月6日付のセキュリティ情報によると、この脆弱性はFreeBSDやAppleへの影響が確認されているという。 CERT/CCのセキュリティ情報によれば、BSD libcにバッファオーバフローの脆弱性があり、攻撃者によるメモリへの書き込みや読み込みができてしまう恐れがある。 影響や危険度は悪用の手段やアプリケーションによる同ライブラリの使われ方によって異なるものの、最悪の場合、root権限で任意のコードを実行される恐れもあるとして、共通脆弱性評価システム(CVSS)での評価値は9.3(最大値は10.0)と位置付けた。ただしCERT/CCは12月6日の時点でコンセプト実証コードの存在は確認していないという。 BSD libcはアップデートでこの脆弱性を修正し、
OpenBSDリーダーがバックドア疑惑について所信表明「混入はなし」 | エンタープライズ | マイコミジャーナル
OpenBSD - Secure? OpenBSD IPSEC初期コードにFBIの依頼で開発されたバックドアが仕込まれているという主張を書いたメールに対して、OpenBSDプロジェクトのリーダー開発者であるTheo de Raadt氏が'Re: Allegations regarding OpenBSD IPSEC' - MARCにおいて所信を表明した。21日におけるTheo de Raadt氏の考えは次のとおり。 NETSECは政府機関の依頼を受けてセキュリティやアンチセキュリティに関する業務を実施する特殊な企業だった。公開されたメールの説明にあったようなIPSECスタックにバックドアを仕込むという契約は実際にあったのではないかと見られる。 仮にIPSECスタック仕込むバックドアが開発されていたとしても、それがOpenBSDのソースツリーにマージされたとは思えない。自らのプロダクトに対し
FBI、OpenBSDのIPSEC開発者に金銭を送りバックドアを仕込んでいた? | スラド セキュリティ
OpenBSDの指導的開発者Theo de Raadt氏がGregory Perry氏からの私信を公開し、Perry氏が最初期のIPSECコードにバックドアを仕込んでいた可能性に注意を喚起している(本家 /. 記事)。 そのメールによれば、Perry氏はFBIの暗号関連機関とNDAを結んでOpenBSD Crypto Frameworkにバックドアや暗号鍵を漏らすためのサイドチャネルを埋めたらしい。彼は他にも数名の開発者を挙げ、同様にFBIから金銭を受け取って細工をしているのではないかと指摘している。 de Raadt氏は、Perry氏の活動が約10年前で途絶えていることから現在のコードに残る影響は不明だとしている。しかし、OpenBSDのIPSECスタックが各所で使われてきたことを考えると、FreeswanやOpenswanといった別系統のIPSECスタックを検討することも無意味ではなさ
OpenBSD IPSEC初期コードにFBIのバックドアの可能性 | エンタープライズ | マイコミジャーナル
OpenBSD OpenBSDプロジェクトのTheo de Raadt氏がAllegations regarding OpenBSD IPSECというタイトルで記事を公開した。「Allegations (まだ事実かどうかわからない主張)」という言葉からもわかるように、主張されている内容が真実であるか、もしそうだとしてどの程度の影響があるのかは不透明な状況にある。しかし、仮に主張が事実だとするとネットワークセキュリティに大きな影響を与える可能性があり、関係者は事態を迅速に把握しておく必要がありそうだ。 Allegations regarding OpenBSD IPSECは、Gregory Perry氏がTheo de Raadt氏にプライベートで送ってきたメールを公開した内容になっている。その内容によれば、Gregory Perry氏がNETSECのCTOを務めてきた当時、FBIのコンサル
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
