HugeDomains.com
Captcha security check knlab.com is for sale Please prove you're not a robot View Price Processing
Forthcoming OpenSSL releases (OpenSSL, 2015.03.16) - 高田純次になりたいエンジニア のhatena
OpenSSL versions 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zfが2015.03.19にリリースされるそうです。 複数のセキュリティ修正が含まれているそうで、セキュリティ影響は「高」 影響「高」はOpenSSL 1.0.2だけか? The OpenSSL GroupのMark J Cox氏によると、Highの脆弱性はOpenSSL 1.0.2とのこと。 @solardiz @joshbressers @hanno right, the new High is 1.0.2 only, other versions new issues just Moderate and Low — Mark J Cox (@iamamoose) 2015, 3月 16 3つの脆弱性の修正がマージ(2015.3.19 追記) 3つの脆弱がマージされ、いずれもlowレベルと
[openssl-announce] Forthcoming OpenSSL releases
Matt Caswell matt at openssl.org Mon Mar 16 19:05:31 UTC 2015 Next message: [openssl-announce] Forthcoming OpenSSL releases Messages sorted by: [ date ] [ thread ] [ subject ] [ author ] -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Forthcoming OpenSSL releases ============================ The OpenSSL project team would like to announce the forthcoming release of OpenSSL versions 1.0.2a, 1.0.1m, 1
OpenSSL Cookbook | Feisty Duck
Chapter 1: Getting Started Getting Started Key and Certificate Management Server Configuration Creating a Private Certification Authority from Scratch Chapter 2: Testing with OpenSSL Sixteen sections cover testing of various aspects of TLS server configuration For all its warts, OpenSSL is one of the most successful and most important open source projects. It’s successful because it’s so widely us
「Google Chrome」が「OpenSSL」の使用を中止--「BoringSSL」に切り替え
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「Google Chrome」の(開発者向け)最新バージョンで、セキュリティプロトコルを実装するソフトウェア「OpenSSL」の使用が中止され、OpenSSLからフォークした独自の「BoringSSL」へと切り替えられた。切り替えに関する詳細な情報は、Chromium Code Reviewsで確認できる。 OpenSSLについては、いわゆる「Heartbleed」脆弱性が4月に発覚し、大きな話題を呼んだ。この脆弱性を突かれると、HTTPSを介して行われたクレジットカード決済の情報などのセキュアなメッセージの中身だけでなく、プライマリおよびセカンダリSSLキー自体も盗み見されてしまう可能性があった。またその後、中間者(MitM)攻撃を可
Google Is Maintaining A "BoringSSL" Fork Of OpenSSL - Phoronix
Show Your Support: Did you know that the hundreds of articles written on Phoronix each month are mostly authored by one individual? Phoronix.com doesn't have a whole news room with unlimited resources and relies upon people reading our content without blocking ads and alternatively by people subscribing to Phoronix Premium for our ad-free service with other extra features. Google Is Maintaining A
OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。 - piyolog
lepidum社の菊池氏がOpenSSLの実装に脆弱性があることを発見しました。この脆弱性はChangeCipherSpecメッセージの処理に欠陥があるもので、悪用された場合に暗号通信の情報が漏えいする可能性があると同社公開情報では説明されています。 尚、6月6日にレピダム社がクライアントの偽装を行う攻撃が行われる恐れについて危険がないことが確認されたとして訂正を行いました。それに伴い以下の内容も修正を加えています。(修正前の記事は魚拓を参照してください。) lepidum社 公開情報 当社で発見し報告をしたOpenSSLの脆弱性(CVE-2014-0224 )が公開されました。早急な更新が望まれる内容だと考えています。 #ccsinjection #OpenSSL 概要はこちらのページをご参照下さい。http://t.co/bhY7GpLZ2j— lepidum (@lepidum) 2
Heartbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ
Heartbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ2014.04.24 18:005,056 satomi サイトがじわじわ来ますね…。 OpenSSLのヘマでHeartbleedなんてバグができてしまい、コードを虱潰しに当たっていたテオ・デ・ラート氏率いるOpenBSDプロジェクトが「こりゃ修復不能だ」と判断、フォーク版「LibreSSL」の開発に乗り出しました。 Ars Technicaからのメール取材に対し、ラート氏はOpenSSLのダメっぷりをこのように書いています。 うちのグループでは1週間かけてOpenSSLのソースツリーのうち半分を削除した。どれも食い残しをそのまま散らかしてるみたいな不要なところさ。 オープンソースのモデルでは、コードがわかる人間が頼みだ。透明性が頼み。ところがこれがまったくクリアなコードベースじゃないわけよね。なぜ
Heartbleedバグのコードを解説 - Qiita
今回バグってたのはheartbeat extension という機能の実装。 RFCはこちら https://tools.ietf.org/html/rfc6520 Heartbleedバグに対する修正コミット http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3 バグ解説 4. Heartbeat Request and Response Messages The Heartbeat protocol messages consist of their type and an arbitrary payload and padding. struct { HeartbeatMessageType type; uint16 payload_length
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
Test your server for Heartbleed (CVE-2014-0160)
If there are problems, head to the FAQ Results are now cached globally for up to 6 hours. Enter a URL or a hostname to test the server for CVE-2014-0160. This test has been discontinued in March 2019. You can use the open-source command line tool or the SSL Labs online test. All good, seems fixed or unaffected! Uh-oh, something went wrong: Check what it means at the FAQ. It might mean that the ser
CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenSSL Security Advisory [11 Jun 2015]
セキュリティ診断・検査のGMOサイバーセキュリティ byイエラエ
OpenSSL、4年前から存在する脆弱性にパッチ [インターネットコム]