OpenSSL クライアントにおけるホスト名検証バイパス脆弱性 (CVE-2013-4073)
Posted by nahi on 27 Jun 2013 Translated by hsbt Ruby の SSL クライアントに信頼された証明書を用いて認証されたサーバーになりすまして 中間者攻撃を可能とする脆弱性が報告されました。 この脆弱性は CVE-2013-4073 として CVE に登録されています。 脆弱性の概要 Rubyの SSL クライアントはホストネームが一意であることをチェックする機構を持っていますが、 その機構は null バイト文字が含まれている証明書のホストネームを適切に処理することができません。 脆弱性の詳細 Ruby の SSL クライアントは OpenSSL::SSL.verify_certificate_identity に RFC2818 の サーバー一意性チェックを実装していますが、 null バイト文字を含んだ X509 の subjectAl
OpenSSL日本語サイト The Open Source toolkit for SSL-TLS
このサイトは OpenSSL サイトの日本語訳です。オリジナルサイトのドキュメントは更新されていますので、最新の情報についてはhttp://www.openssl.org/ を参照して下さい。 日本語訳に関する責任はインフォサイエンス(株)にあります。日本語訳に関する質問、誤訳の指摘などは ssleay@infoscience.co.jp まで御連絡下さい。 翻訳の原文はここ(ミラーサイト)です。 Welcome to the OpenSSL Project OpenSSL Project とは、Secure Sockets Layer (SSL v2/v3) と、世界標準の暗号プロトコルである Transport Layer Security (TLS v1) を実装した、強固で商用に耐えうる、高機能な Open Source のツールキットを共同開発するものです。プロジェクトは Ope
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
