「OpenSSL」に2件の脆弱性、深刻度は“高” ~「OpenSSL 1.1.1k」への更新を/不正なCA証明書を受け入れてしまう可能性
ハワイアンズモールのクレジットカード情報流出、原因はOpenSSLの脆弱性「HeartBleed」
観光施設「スパリゾートハワイアンズ」で知られる常磐興産は2017年7月12日、同社のショッピングサイト「ハワイアンズモール」で、最大6860件のクレジットカード情報が流出した可能性があると発表した。原因は、システムで利用していたSSL/TLSライブラリである「OpenSSL」の脆弱性「HeartBleed」である。 常磐興産がハワイアンズモールの運営を委託しているシステムフォワードが提供するシステムが、外部からの不正アクセスを受け、情報が流出した。不正アクセスを受けたのは、2017年2月10日から5月25日の間と見られ、この間にハワイアンズモールでクレジットカード決済を行ったユーザーのクレジットカード情報が流出した可能性がある。なお、スパリゾートハワイアンズ施設内でのクレジットカードの利用は、情報流出の対象ではないという。 2017年5月25日にクレジットカード決済代行会社からクレジットカ
'[openssl-announce] Forthcoming OpenSSL releases' - MARC
[prev in list] [next in list] [prev in thread] [next in thread] List: openssl-announce Subject: [openssl-announce] Forthcoming OpenSSL releases From: OpenSSL <openssl () openssl ! org> Date: 2016-04-28 13:20:13 Message-ID: alpine.LFD.2.20.1604281419530.24508 () localhost ! localdomain [Download RAW message or body] -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Forthcoming OpenSSL releases ======
OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog
2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 注意喚起 OpenSSL の複数の脆弱性に関する注意喚起 - JPCERT/CC SSLv2 DROWN Attack - US-CERT OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advisory [1st March 2016] OpenSSL version 1.0.1s published OpenSSL version 1.0.2g published An OpenSSL User’s Guide to DROWN 2016年3月1日公
CVE-2015-1855: Ruby OpenSSL ホスト名検証の脆弱性
Posted by zzak on 13 Apr 2015 Translated by usa Ruby の OpenSSL 拡張ライブラリにおいて、ホスト名検証時に、本来マッチすべきでない名前がマッチしてしまう場合があるという脆弱性が発見されました。 これは CVE-2014-1492 に類似した不具合です。 同種の問題が Python でも発見されています。 この脆弱性は CVE-2015-1855 として CVE に登録されています。 ユーザーの皆さんには Ruby を更新することを強くお勧めします。 詳細 RFC 6125 および RFC 5280 を確認した結果、ホスト名マッチング、および、特にワイルドカード証明書の扱いについて、複数の仕様違反が見つかりました。 Ruby の OpenSSL 拡張ライブラリでは、これらの RFC で推奨されているような、 より 厳密な振る舞いに従
CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 - OpenSSL #ccsinjection Vulnerability
菊池です。CCS Injection脆弱性(CVE-2014-0224)発見の経緯について紹介します。 バグの簡単な解説 OpenSSLがハンドシェーク中に不適切な状態でChangeCipherSpecを受理してしまうのが今回のバグです。 このバグはOpenSSLの最初のリリースから存在していました。 通常のハンドシェークでは、右の図のような順序でメッセージを交換します(RFC5246 The Transport Layer Security (TLS) Protocol Version 1.2 §7.3より作成)。 ChangeCipherSpecは必ずこの位置で行うことになっています。OpenSSLもChangeCipherSpecをこのタイミングで送信しますが、受信は他のタイミングでも行うようになっていました。これを悪用することで、攻撃者が通信を解読・改ざん可能です。 発見の困難さ
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenSSLにまた重度の欠陥、修正アップデートは3月19日にリリース