AIを活用した業務自動化の仕組みづくりや基幹システムのモダナイズ、データ基盤の整備など、各社のITリーダーがIT課題に対するヒントを語ります。2024年8月19~22日に開催予定。
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
はじめに CBCモードへの選択平文攻撃を扱った前回のエントリに引き続き、BEASTについて見ていきます。今回は、BEASTの全体像について解説します。なお、BEASTの実際の攻撃コードはパブリックにされていないため、この記事の内容はあくまでも推測に基づくものとなっていることをご了承ください。 BEAST以前の情報 BEASTはSSLに対する「100%新しい画期的な攻撃方法」ではありません。過去に発見されていたいくつかのテクニックを適切に組み合わせ、さらに最後のひとさじを加えることで華麗にまとめあげたものとなっています。 BEASTの基となっている技術は、ほぼ次の2つの論文にまとまっていると考えられます。 The Vulnerability of SSL to Chosen-Plaintext Attack A Challenging but Feasible Blockwise-Adapt
SSL プロトコル バージョン 3.0 TLS プロトコル バージョン 1.0 TLS 1.1 および TLS 1.2 は、本脆弱性の影響を受けないとのことです。 SSL および TLS を使用する複数のベンダ製品が影響を受ける可能性があります。 Google Google Chrome Mozilla Foundation Mozilla Firefox Opera Software ASA Opera VMware VMware ESX 3.5 VMware ESX 4.0 VMware ESX 4.1 VMware vCenter 4.0 (Windows) VMware vCenter 4.1 (Windows) VMware vCenter 5.0 (Windows) VMware VirtualCenter 2.5 (Windows) アップル Apple TV 4.0 から
A vulnerability in the specification of the SSL 3.0 and TLS 1.0 protocols could allow an attacker to decrypt encrypted traffic. The Secure Sockets Layer (SSL) and Transport Layer Security (TLS) protocols are commonly used to provide authentication, encryption, integrity, and non-repudiation services to network application protocols such as HTTP, IMAP, POP3, LDAP, SMTP, and others. Several differen
モバイル端末向け電子証明書発行サービスで、メーカーの制限機能が解除された端末を検知することにより、電子証明書の発行を禁止する。 日本ベリサインは2月20日、モバイル端末向け電子証明書発行サービス「ベリサイン マネージドPKI for Device」の新機能として、メーカーの制限が解除された端末を検知する機能を提供すると発表した。解除された端末に対する電子証明書の発行を禁止し、企業ネットワークへの接続といった行為をできないようにする。 メーカーの制限を解除する行為は、米Apple製端末では「Jailbreak」、GoogleのAndroid OSを搭載する端末で「root化」と通称で呼ばれる。制限を解除することで、ユーザーが端末のカスタマイズを容易に行える反面、不正プログラムや脆弱性の悪用などによって第三者にシステム権限を奪取され、情報を盗み取られたり、不正に操作されたりする恐れがある。 ベ
User Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:10.0) Gecko/20100101 Firefox/10.0 Build ID: 20120129141551 Steps to reproduce: Trustwave issued a subordinate root certificate to a company, therefore enabling the company to issue unlimited SSL certificates for any domain/hostname: http://blog.spiderlabs.com/2012/02/clarifying-the-trustwave-ca-policy-update.html This is a violation of the Mozil
写真●暗号の2010年問題などについて説明する日本ベリサイン SSL製品本部SSLプロダクトマーケティング部プロダクトマーケティングチーム アシスタントマネージャーの上杉謙二氏 日本ベリサインは2012年2月8日、「認証局の安全性とSSLサーバー証明書の暗号強度」と題する説明会を開催。テーマの一つとして「暗号の2010年問題」を取り上げ、現状における問題点や同社の取り組みを紹介した。 暗号の2010年問題とは、暗号技術の寿命が尽きることで起こる問題のこと。米国の国立標準技術研究所(NIST)が、2010年をめどに弱い暗号技術の使用を停止する方針を発表したことから「2010年問題」と呼ばれる。停止の対象となるのは、公開鍵暗号では鍵長1024ビットのRSA、ハッシュ関数ではSHA-1など。 これらの暗号技術は例えば鍵長2048ビットのRSAやSHA-2といった、より安全な暗号技術に切り替えるこ
現在ソウルで開催されている ASIACRYPT2011 にて、RFC6066 で規定された拡張機能のひとつである Truncated HMAC を用いた TLS1.2 通信における脆弱性が公開されました。 本脆弱性[1]K.G. Paterson, T.E. Shrimpton and T. Ristenpart, Tag Size Does Matter: Attacks and Proofs for the TLS Record Protocol. http://www.isg.rhul.ac.uk/~kp/mee-comp.pdfは9月に公開された攻撃ツール BEAST と同様、暗号モードとして CBC を利用しているケースにのみ適用可能です。 Truncated HMAC は RFC6066 7章に記載されている方式で、メッセージ認証子 (MAC; データの完全性を保証するために利
セキュリティ企業のF-Secureによると、政府機関から盗まれた証明書を使ったマルウェアが見つかったという。 デジタル証明書発行機関の認証局がサイバー攻撃を受けたり不正な証明書を発行したりする問題が相次いで発覚する中、セキュリティ企業のF-Secureは11月14日、政府機関から盗まれた証明書を使ったマルウェアが発見されたとブログで伝えた。 同社によると、問題のマルウェアは不正なPDFファイルに仕込まれており、感染すると外部のサーバに接続して別のマルウェアを呼び込む仕掛けを持つ。プロパティを見ると、発行元として「Adobe Systems Incorporated」の名が記載され、署名者はマレーシアの政府機関であることを示す「anjungnet.mardi.gov.my」と記載されていた。マレーシア当局はこの証明書について、以前に盗まれたものだと説明しているという。 Windowsでは署名
マレーシアのSSL認証局DigiCert Sdn. Bhdの証明書に問題が見つかったことで、米Microsoftはこの認証局が発行した証明書を失効させるアップデートを公開した。 マレーシアのSSL認証局DigiCert Sdn. Bhdの証明書に不備が見つかった問題で、米Microsoftは11月10日(現地時間)、DigiCert Sdn. Bhdの証明書を失効させる更新プログラムをサポート対象のWindows(Windows Phone/Mobileを除く)向けにリリースした。更新プログラムはWindows Updateで入手できる。 この問題は、米Entrust傘下の下位認証局DigiCert Sdn. Bhdが発行した証明書に、暗号強度が脆弱な512ビットのRSA鍵を使用されていたもので、同社は22件の脆弱な証明書を発行していた。 攻撃者がこの証明書を悪用すると、不正サイトを正規サ
問題Mozilla 製品のルート証明書に含まれている認証局の Entrust 社から、傘下の認証局のひとつであるマレーシアの DigiCert Sdn. Bhd. 社が低強度の鍵で 22 の証明書を発行していたことが報告されました。それらが不正に発行された兆候はありませんが、低強度の鍵により、証明書がセキュリティ侵害を受ける恐れがあります。また、この認証局から発行された証明書にはいくつかの技術的な問題が見受けられました。用途を指定する EKU 拡張が欠落しており、失効情報も含まれていません。 これは Firefox 固有の問題ではありませんが、Mozilla では、この認証局の技術慣行に関する懸念を考慮し、DigiCert Sdn. Bhd. 社の中間認証局への信頼を取り消すことにしました。 DigiCert Sdn. Bhd. 社は、マレーシアで営業している、Entrust 社と Ver
Security Advisory Microsoft Security Advisory 2588513 Vulnerability in SSL/TLS Could Allow Information Disclosure Published: September 26, 2011 | Updated: January 10, 2012 Version: 2.0 General Information Executive Summary Microsoft has completed the investigation into a public report of this vulnerability. We have issued MS12-006 to address this issue. For more information about this issue, inclu
2011/09/20 TLS 1.0に深刻な弱点が見付かる セキュリティ研究者のThai Duong氏とJuliano Rizzo氏は、TLS 1.0/SSL 3.0を使っているウェブサイトで、攻撃者にエンドユーザとウェブサイト間に流れるデータを気付かれずに復号化できるという深刻な弱点を発表するそうだ。今のところ、TLS 1.1や1.2は影響はないとのこと。今週、ブエノスアイレスで開催されるekopartyセキュリティ会議で、両氏はBEAST (Browser Exploit Against SSL/TLS)と呼ばれるコードでそのデモを行うそうだ(デモは23日)。Duong氏は、デモではPayPalアカウントにアクセスするために使われる認証用のcookieを復号化すると語っている。このBEASTは、標的となるブラウザにBEASTのクライアント側のJavaScriptコードを埋め込み、中間(
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く