OpenSSL の脆弱性 (CVE-2019-1559) について
2019年2月26日 (米国時間)、OpenSSL Project から OpenSSL の脆弱性 (CVE-2019-1559) に関する情報[1]が公開されました。OpenSSL Project は、本脆弱性の重要度を中 (Moderate) と評価しています。公開された情報によると、OpenSSL にはパディングオラクル攻撃が可能な脆弱性があり、悪用されると、遠隔の第三者が通信情報を窃取する可能性があるとされています。なお、研究者から本脆弱性に関する情報[2]が公開されています。 本脆弱性の影響を受けるバージョンは次のとおりです。 - OpenSSL 1.0.2 から 1.0.2q まで OpenSSL Project によると OpenSSL 1.0.2r にて本脆弱性を修正済みとのことです。なお、OpenSSL 1.1.1、1.1.0 を使用している場合や暗号スイートに認証暗号
OpenSSLの暗号処理が爆速な件 - Y's note
OpenSSL―暗号・PKI・SSL/TLSライブラリの詳細― 作者:John Viega,Matt Messier,Pravir Chandra,齋藤 孝道オーム社Amazon 目次 OpenSSLによる暗号 実行環境 OpenSSLによる暗号化速度 ECBとCBCの違い PHP OpenSSLとMcrypt関数のalgorithms比較 OpenSSLとmcrypt関数のDES,AESの速度比較 Mcryptのゼロpaddingの癖 C DES暗号 AES暗号 OpenSSLとMcryptのDES,AESの速度比較 OpenSSLによる暗号 OpenSSL日本語サイト: The Open Source toolkit for SSL/TLS あどてくやっている@yutakikuchi_です。 今日はOpenSSLの共通鍵暗号について調査した内容を纏めます。OpenSSLについて特にC言
Benchmarking symmetric cyphers in PHP - OpenSSL vs. Mcrypt
Symmetric (two-way) cyphers are simple and secure way of transferring unencrypted data over the internet. A typical use case would be sending URL link with parameter called "contractID". In some situations it is undesirable to display what is the actual value of the contract ID - user can be tempted to play with the value, or a competitor may learn how many contracts did you make yesterday :-) Enc
TLS 1.3 に備えて PHP 7.1 にアップグレードする
概要 2017年前半に TLS 1.3 の仕様が発行されます。TLS 1.3 では仕様の簡略化が進められ、速度が改善されるとともにプライバシーの保護の強化が図られています。Google が提唱する次世代プロトコルの QUIC は TLS 1.3 に対応し、2018年に仕様が発行される予定です。curl の開発者は QUIC 対応を表明しています。 2016年にリリースされた OpenSSL v1.1.1 は TLS 1.3 に部分的に対応し、2017年にリリース予定の v1.1.1 で完全に対応します。 OpenSSL 1.1 系には 1.0 系に対して後方互換性がない変更が多く含まれているため、PHP 7.1 は OpenSSL 1.1 系に対応しますが、PHP 5.6、7.0 は対応しない予定です。 今後5年10年後にTLS 1.3 を必須とするプロトコルが必要になったとき、もしくはブ
OpenSSLの脆弱性(CVE-2014-3511)でTLSプロトコルの基礎を学ぶ - ぼちぼち日記
1. はじめに、 昨日 OpenSSLのバージョンアップがアナウンスされ、9つの脆弱性が公開されました。バージョンアップの数日前にOpenSSLの次期リリース予告がアナウンスされていましたが、ちょうど BlackHat 開催初日にあたることもあり、なんかまた重大な脆弱性の修正が入るんじゃないかとドキドキしていました。蓋を開けてみるとHeatBleed程の大事ではなくホットひと安心です。 昨日公開されたOpenSSLの9つの脆弱性のうち、TLS プロトコルダウングレード攻撃 (CVE-2014-3511)の修正を見ていたところ、これはTLSプロトコルを学ぶいい題材になるなぁとふと思いつき、試しにこのOpensslの脆弱性の詳細をTLSプロトコルの基礎に合わせて書いてみました。 ちょっと長いですが、TLSプロトコルの仕組み(の一部)を知りたい方はお読みください。 2. OpenSSLの脆弱性
OpenSSL の Man-in-the-middle 攻撃可能な脆弱性の影響 – IIJ Security Diary
OpenSSL に Man-in-the-middle (MITM) 攻撃が可能な脆弱性 CVE-2014-0224 が発見され、日本時間2014年6月5日の夜に公開されました。そのアドバイザリでは合わせて7件の脆弱性が報告されていますが、本記事では脆弱性 CVE-2014-0224 を取り上げます。IIJ でも本脆弱性を調査した結果、MITM 攻撃が可能になるには条件があります。したがって、例えば使用している OpenSSL のバージョンや SSL/TLS 通信の利用の仕方に応じて、アップデートの緊急性を個別に検討する余地があります。 概要 本脆弱性による MITM 攻撃[1]MITM 攻撃とは、サーバとクライアントの間に攻撃者が割り込み、通信内容の盗聴や改ざんを行う攻撃です。では、サーバとクライアントの両方が OpenSSL を使っている場合に、その間にいる攻撃者が SSL/TLS ハ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティ診断・検査のGMOサイバーセキュリティ byイエラエ
DeNA Engineering - DeNAエンジニアのポータルサイト