OpenSSLの脆弱性(CVE-2014-3511)でTLSプロトコルの基礎を学ぶ - ぼちぼち日記

1. はじめに、 昨日 OpenSSLのバージョンアップがアナウンスされ、９つの脆弱性が公開されました。バージョンアップの数日前にOpenSSLの次期リリース予告がアナウンスされていましたが、ちょうど BlackHat 開催初日にあたることもあり、なんかまた重大な脆弱性の修正が入るんじゃないかとドキドキしていました。蓋を開けてみるとHeatBleed程の大事ではなくホットひと安心です。 昨日公開されたOpenSSLの９つの脆弱性のうち、TLS プロトコルダウングレード攻撃 (CVE-2014-3511)の修正を見ていたところ、これはTLSプロトコルを学ぶいい題材になるなぁとふと思いつき、試しにこのOpensslの脆弱性の詳細をTLSプロトコルの基礎に合わせて書いてみました。 ちょっと長いですが、TLSプロトコルの仕組み（の一部）を知りたい方はお読みください。 2. OpenSSLの脆弱性

[karupanerura]

わかりやすい。しかしひどい実装だな……。

[Akaza]

マジックナンバーが脆弱性を呼び込んだケース

[rryu]

該当箇所のちょっと後のコメントに「If TLS 2.0 ever appears we will need to revise this....」とあって、まだバージョン依存の爆弾を抱えている模様…

[pukarix]

過去の脆弱性修正が、今回の脆弱性になってしまっていたとは、、なんとも皮肉なことだ。こういうのはたくさんあるのでは？

[naga_sawa]

OpenSSL TLS プロトコルダウングレード攻撃 (CVE-2014-3511) の実際

[criticabug]

TLS自分では絶対実装できないな…

[tmatsuu]

すごい。一度読んだだけではわからなかった。あとで

[tsuchiya1986]

OpenSSLの脆弱性(CVE-2014-3511)でTLSプロトコルの基礎を学ぶ - ぼちぼち日記 (id:jovi0608 / @jovi0608) http://t.co/tfu8yOwJEB

[mumincacao]

ふぉーるばっくに当時の最新版を決め打ちかぁ・・・ この手のものは１つ見つけたら複数潜んでる可能性あるのもこわいところなのです（ーωー；【みかん

[futosuke9]

TLS, OpenSSL 1. はじめに、昨日 OpenSSLのバージョンアップがアナウンスされ、９つの脆弱性が公開されました。バージョンアップの数日前にOpenSSLの次期リリース予告がアナウンスされていましたが、ちょうど BlackHat 開催初日に

[kowill]

面白かった。

[ockeghem]

『あぁ、もともと6バイトより小さいClientHelloはエラーにしていたのですが、2001年当時最もバージョンの高いTLS1.0を決め打ちで定義してしまったようです』

[n314]

あとで読む

[dogusare]

あとでよむ

[tetokon]

メモメモ

[burnworks]

『もともと6バイトより小さいClientHelloはエラーにしていたのですが、2001年当時最もバージョンの高いTLS1.0を決め打ちで定義してしまったようです。TLS1.1や1.2ができることを想定してなかったのでしょう』

[daruyanagi]

あとで読む

[gontta]

いい

[p-baleine]

勉強になります、サンプル動かしてみよう