「Heartbleed」セキュリティ問題を受け、OpenBSDがOpenSSLフォークの「LibreSSL」を開発 | OSDN Magazine
The OpenBSD Projectのメンバーが新プロジェクト「LibreSSL」を立ち上げた。OpenSSLで発見された「Heartbleed」脆弱性問題を受けてのもので、OpenSSLをフォークして新たなSSL/TLSプロトコルのフリー実装を作成するという。次期「OpenBSD 5.6」に導入する予定で開発を進めるという。 4月初め、OpenSSLのHeartbeat機能に脆弱性が発見された。これは通称「Heartbleed」と呼ばれ、悪用するとOpenSSLプロセスが使用しているメモリの内容を不正に外部から閲覧することが可能になる。OpenSSLは4月7日バグを修正したOpenSSL 1.0.1gをリリースしている。 LibreSSLではOpenSSLのコードの書き直しや非推奨機能の削除、リファクタリングや修正などを行うという。プロジェクトは主としてOpenBSD Projectに
高木浩光@自宅の日記 - 緊急起稿 パーソナルデータ保護法制の行方 その1
■ 緊急起稿 パーソナルデータ保護法制の行方 その1 昨年7月からブログには書かないことにしていた*1が、緊急事態であるので、政府のパーソナルデータ保護法制(個人情報保護法改正)の議論の状況についてに書いておきたい。本当は論文や講演の形で示していくつもりだったが、それでは間に合わない状況が発生中であるので、周知の目的で取り急ぎかいつまんで書く。副政府CIOの向井治紀内閣審議官とお話ししたところ、「ブログに書いたらエエやないですか。どんどん書いてください。」とのことであったので、それ自体書くことを含めて許可を得たところで書くものである。 先週、IT総合戦略本部の「パーソナルデータに関する検討会」の第7回会合が開かれ、「定義と義務」についての事務局案が示された。資料が公開されている。事務局案は、これまでの「個人情報」についての定義と義務は変更しないものとし、新たに「準個人情報」と「個人特定性低
三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみた - piyolog
三菱UFJニコスのWebサイトが不正アクセスを受け、会員情報が不正に閲覧されたと発表しました。ここでは関連する情報をまとめます。 概要 2014年4月11日に三菱UFJニコスが自社Webサイトで不正なアクセスを検知し、Webサイトを停止。その後詳細な調査結果として、4月18日に第3報を公開し、そこでOpenSSLの脆弱性(恐らくCVE-2014-0160)を悪用した不正アクセスであったことを報告。 三菱UFJニコスの不正アクセスに関連した発表 2014/4/11 弊社Webサイトへの不正アクセスについて(PDF) 2014/4/12 不正アクセスに伴い停止させていただいた弊社Webサービス再開のお知らせと会員様へのお願い(PDF) 2014/4/18 弊社会員専用WEBサービスへの不正アクセスにより一部のお客さま情報が不正閲覧された件(PDF) (1) 被害状況 不正閲覧会員数 894名(
強烈なDNSキャッシュポイズニング手法が公開される:Geekなぺーじ
本日、JPRSが緊急の注意喚起を公表しました。 緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)- 問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨 それに対して、2月中旬に脆弱性を発見してJPRSへと報告していた鈴木氏(脆弱性は前野氏との共同発見)が、JPRSの注意喚起では「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」として、以下の情報を公開しています。 開いたパンドラの箱 - 長年放置されてきたDNSの恐るべき欠陥が明らかに キャッシュポイズニングの開いたパンドラの箱 キャッシュポイズニングの開いたパンドラの箱 - 2 - 本来であれば、より上位からの正規の回答が優先されなければならないはずなのに、下位側が優先される仕様になっているので、偽装されたデータが優先されてしまう
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた - piyolog
HeartBleed(CVE-2014-0160)関係のリンク集、自分のメモ用なので不正確です。 HeartBleedの影響対象となるOpenSSLバージョン 以下のバージョンが影響を受けます。但し、システムによっては原因となっているheartbeat機能が無効化されている場合もあるため、バージョンが一致しただけで当該脆弱性の影響を受けるかは確定しません。 (1) OpenSSL 1.0.1系 バージョン名 リリース時期 CVE-2014-0160 OpenSSL 1.0.1 2012/03/14 脆弱性あり OpenSSL 1.0.1a 2012/04/19 脆弱性あり OpenSSL 1.0.1b 2012/04/26 脆弱性あり OpenSSL 1.0.1c 2012/05/10 脆弱性あり OpenSSL 1.0.1d 2013/02/05 脆弱性あり OpenSSL 1.0.1e
OpenBSD、怒りのコミット
OpenSSLのheatbeatバグの対応のため、OpenBSDはOpenSSLのheatbeatを無効にするコミットをした。ただし・・・ src/lib/libssl/ssl/Makefile - view - 1.29 SegglemannのRFC520 heatbeatを無効化。 あのまともなプロトコルひとつ制定できないIETFの無能集団が、超重要なプロトコルで64Kの穴をこしらえるとか、マジであきれてものも言えねーわ。奴らはマジこの問題を本気で検証すべきだろ。なんでこんなことをしでかしたのか。こんな事態を承認した責任ある連中を全員、意思決定プロセスから取り除く必要がある。IETF、てめーは信用なんねぇ。 このコミットは、Makefileの中で、OpenSSLでheatbeatを無効にするマクロを定義するよう、コンパイラーオプションを指定するものだ。ただし、無効にするマクロは、OPE
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
Home - Broadcom Community - Discussion Forums, Technical Docs, Ideas and Blogs
VMware Explore Registration Is Open Map your next move at the industry’s essential cloud event in Las Vegas August 26 – 29. Register Now Welcome VMware Members We are pleased to announce that VMware Communities, Carbon Black Community, Pivotal Community, and the Developer Sample Exchange will go live on Monday, 5/6. Stay tuned for updates. Read More Welcome VMware Members We are pleased to annou
CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
徳丸本Kindle版が半額(1,400円)となるキャンペーン始まりました
拙著「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」のKindle版が、本日から2週間、半額の1,400円でお買い求めいただけるキャンペーンが始まりました。 参考: 【電子書籍】4社共同IT書キャンペーン実施! ※キャンペーンはAmazonのKindleのみで実施しています。 ※キャンペーンは2014/3/27まで実施の予定ですが、都合により早めに終了することがあります。 徳丸本電子版をまだお持ちでない方は、この機会に購入をご検討ください。 ただし、徳丸本電子版は、Kindle版以外にPDF版もあります。PDF版の割引キャンペーンはありませんが、Kindle版に対して下記のメリットがあります。 DRMフリー 検索が可能 PC、Macなど様々な端末での閲覧が可能 印刷、コピペ等の制限解除 将来にわたる閲覧の保証 Kindle版に関しては、下記の注もお読
8.8.8.8に対するBGPハイジャックの話:Geekなぺーじ
一昨日書いた記事に対する補足です。 まず、最初にBGPハイジャックそのものは、世界各所で毎月のように発生しており、別に珍しくもない話です。 そのほとんどが、意図的にトラフィックを乗っ取る目的で行われたものではなく、単なるオペレーションミスであると言われています。 BGPハイジャックで有名なのが、2008年にYouTubeへのトラフィックをパキスタンのISPが吸い込んでしまった事件(参考:RIPE-NCC: YouTube Hijacking: A RIPE NCC RIS case study)ですが、これも意図的にやったのではなく、パキスタン国内向けのネット検閲設定が外部に漏れてしまったというオペレーションミスだったと思われます。 オペレーションミスは、漏らしてしまった側だけではない可能性もあります。 そもそも、/32などのプレフィックス長を持つ経路はフィルタされていることが多いので、普
Google Public DNSがBGPハイジャックされる:Geekなぺーじ
ブラジルとベネズエラのネットワークで、Google Public DNSが運用されている8.8.8.8が、最大22分間BGPハイジャックされたとBGPmonがTwitterで表明しています。 https://twitter.com/bgpmon/status/445266642616868864/photo/1 BGPmonのTweetによると、ベネズエラにあるAS7908(BT LATAM Venezuela,S.A.)が8.8.8.8/32を広告したことが原因のようです。 ブラジルといえば、ブラジル国民のデータをブラジル国内に留めることを求めた法律が成立したことによって、昨年10月に同国からGoogle Public DNSが撤退しています(Renesys: Google DNS Departs Brazil Ahead of New Law)。 実際のところは知りませんが、その撤退に
パスワードとmemset関数 - yohhoyの日記
C言語プログラム上で高機密性情報(パスワード文字列など)を消去するケースで、memset関数の単純利用では機密情報がメモリ上に残存してしまい、セキュリティ上の脆弱性につながる可能性がある。 void secure_operation() { // パスワード文字列を取得 char passwd[128]; get_password(passwd, sizeof(passwd)); //... // メモリ上の高機密データを消去... memset(passwd, 0, sizeof(passwd)); // ?? } 上記コードではパスワード文字列が格納された変数passwdを使用後にゼロクリアしているが、コンパイル時の最適化によりmemset関数呼び出しが削除される可能性がある。この(プログラマの意図に反する)最適化は、C言語の言語仕様上も許容されるコンパイラの振る舞いとなっている。*1
よくわかるPHPの教科書 PHP5.5対応版のクロスサイト・スクリプティング
たにぐちまことさんの よくわかるPHPの教科書がこのたび改版されて、よくわかるPHPの教科書 【PHP5.5対応版】として出版されました。旧版はmysql関数を使ってSQL呼び出ししていましたが、mysql関数がPHP5.5にて非推奨となったための緊急対処的な内容となっているようです。つまり、従来mysql関数を呼び出していた箇所をmysqliの呼び出しに変更したというのが、主な変更点のようで、これ以外はあまり変更点は見あたりません。 既に、Amazonでは、熱烈な読者の方からの詳細のレビューが届いています。 神本御降臨! 言わずと知れたPHPプログラミング書籍のロングセラー。 2010年9月に発売された前作の改訂版。 PHPのバージョンも最新の5.5に対応、内容は前作と殆ど同じ。 少し前に前作を購入した方も本書を購入した方がいいでしょう。 【中略】 それにしても、帯の「3万人に読まれた定
更新情報/2014年/03月/09日/改善:メンテナンス・障害情報: 【お詫び】ユーザ情報流出に関するお知らせ - アットウィキ(@WIKI)ご利用ガイド
いつも@wikiをご利用頂きありがとうございます。 この度、ユーザ用の管理情報およびデータの流出が確認されました。 ご迷惑をおかけし、誠に申し訳ございません。 緊急的措置として全ユーザのパスワードを強制的にリセットさせて 頂いております。お手数ですが、パスワードの変更をお願いいたします。 パスワード変更の方法につきましては、以下の通りお願いいたします。 1,パスワード再発行フォーム よりパスワード再発行ください。 2,管理画面より再度ご自身でパスワード変更いただけますよう お願いいたします。 なお、流出した個人情報およびセキュリティ上重大と考える範囲内は以下のとおりです。 ※流出内容 ユーザID パスワード(暗号化されています) メールアドレス 登録時のIP ※影響範囲 現在登録中のユーザ全員 パスワードは単一方向の暗号方式を用いておりますが、 暗号化されたパスワードから元のパスワードを推
「警告!!!」「スパイウェアが検出されました」 こうした"悪質"バナー広告は違法か? 消費者庁に聞いてみた
Engadget Japaneseの記事がきっかけで話題になっている、インターネット上の「悪質バナー広告」問題(関連記事)。なぜこうした悪質広告は取り締まられないのか、消費者庁に見解をうかがいました。 今回問題になっているのは、「警告!!! 容量が不足しています。今すぐクリーンアップしましょう!」といった"ウソの文言"でクリックを誘う類いのもの。他にも「パソコンの性能が低下しています」「スパイウェアを検出しました」などさまざまなバリエーションがあり、見たことがあるという人も多いのではないでしょうか。 しかし冷静になって考えてみると、バナー広告がユーザー側のHDD容量まで参照しているとは思えず、だとしたら「容量が不足しています」というコピーは、ユーザーをだましてクリックさせるための"ウソ"ということになります。こうしたバナー広告はかなり前からあるものですが、いっこうに消える気配はなく、野放し
広告でスパムが表示されると聞いたので検索エンジンで色んなワードを入れてみた - 戯れ言(はてなダイアリー版跡地)
この記事を読んだ。 なぜhao123に汚染されるのか - ex セットアップしたばかりのマシンのIEから、デフォルトの検索エンジンであるbingで「chrome」を検索すると怪しいサイトが広告に出てくるという話。 この記事を見てあっ、と思った。というのは一昨日、ちょうどbingで検索したら似たような広告が出てきたから。 【セキュリティ ニュース】「Adobe Flash Player」が今月2度目の緊急更新 - 別のゼロデイ脆弱性を修正:Security NEXT これ見てさっさと更新しようと思い、普段使わないIEを立ち上げてデフォのままになってるbingで「Flash」と入れた。すると出てきたのは次の画面。 普段なら広告なんてスルーして「get.adobe.com/jp/flashplayer」から更新するところを、adobeの文字が目に入ったので「adobe.fastsoftdownl
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DeNA Engineering - DeNAエンジニアのポータルサイト
巧妙なので注意、Google ドライブで作られた偽のGoogle Docsログインページ 