Microsoft、「FREAK」の脆弱性発覚で対応を説明
WindowsへのTLS/SSL実装に使われている「セキュアチャネル」(Schannel)に脆弱性があり、サポート対象の全Windowsが影響を受ける。 インターネットの通信の暗号化に使われるTLS/SSLプロトコルに1990年代の米暗号輸出規制に起因する脆弱性が発覚した問題(FREAK)で、米Microsoftは3月5日にアドバイザリーを公開し、WindowsへのTLS/SSL実装に使われている「セキュアチャネル」(Schannel)にこの脆弱性が存在していることを確認した。 アドバイザリーによると、Schannelの脆弱性はサポート対象の全Windowsが影響を受ける。同社で検証した結果、攻撃者がこの問題を突いた中間者攻撃を仕掛ければ、暗号化されたSSL/TLSセッションの質を低下させ、クライアントシステムに強度の弱いRSA輸出暗号を使わせて、暗号を解除できてしまう恐れがあることが確認
OpenSSLに再び脆弱性、MITM攻撃につながる恐れ
OpenSSLに再び脆弱性、MITM攻撃につながる恐れ:最初のリリースから16年間存在していた問題、修正版へのアップデートを推奨 オープンソースのSSL/TLS実装「OpenSSL」に、新たに複数の脆弱(ぜいじゃく)性が発見された。中にはMITM攻撃につながるおそれのある問題も含まれており、修正版0.9.8za/1.0.0m/1.0.1hへのアップグレードが呼び掛けられている。 オープンソースのSSL/TLS実装「OpenSSL」に、新たに複数の脆弱(ぜいじゃく)性が発見された。中にはMan-in-the-Middle(MITM)攻撃によって、暗号化通信の内容を第三者(=攻撃者)が読み取ったり、改ざんしたりすることができる深刻な脆弱性も含まれている。 開発元のOpenSSLプロジェクトは米国時間の2014年6月5日、セキュリティアドバイザリを公開し、6つの問題を修正したバージョン0.9.8
OpenSSL #ccsinjection Vulnerability
[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability 概要 OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。 対策 各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 (随時更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI 原因 OpenSSLのChangeCipherSpecメッセージの処理に発見
Heartbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ
Heartbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ2014.04.24 18:005,056 satomi サイトがじわじわ来ますね…。 OpenSSLのヘマでHeartbleedなんてバグができてしまい、コードを虱潰しに当たっていたテオ・デ・ラート氏率いるOpenBSDプロジェクトが「こりゃ修復不能だ」と判断、フォーク版「LibreSSL」の開発に乗り出しました。 Ars Technicaからのメール取材に対し、ラート氏はOpenSSLのダメっぷりをこのように書いています。 うちのグループでは1週間かけてOpenSSLのソースツリーのうち半分を削除した。どれも食い残しをそのまま散らかしてるみたいな不要なところさ。 オープンソースのモデルでは、コードがわかる人間が頼みだ。透明性が頼み。ところがこれがまったくクリアなコードベースじゃないわけよね。なぜ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
