OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog
2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 注意喚起 OpenSSL の複数の脆弱性に関する注意喚起 - JPCERT/CC SSLv2 DROWN Attack - US-CERT OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advisory [1st March 2016] OpenSSL version 1.0.1s published OpenSSL version 1.0.2g published An OpenSSL User’s Guide to DROWN 2016年3月1日公
「DROWN攻撃」の脆弱性が発覚、HTTPSサイトの33%に影響
攻撃を受ければ暗号を解除され、通信の内容を傍受される恐れがある。影響を受けるWebサイトには、日本の大手も含まれる。 インターネットの通信暗号化に使われるSSL/TLSプロトコルを使って通信を暗号化しているHTTPSサイトなどに深刻な脆弱性が発見された。研究チームはこの脆弱性を「DROWN」と命名し、3月1日に詳しい情報を公開。全HTTPSサイトの33%が影響を受けるとして、管理者に対応を急ぐよう呼び掛けている。 研究チームが専用サイトを通じて公開した情報によると、DROWN攻撃の脆弱性は、多くのサーバがTLSに移行しながら、設定ミスが原因で依然としてTLSの前身であるSSLv2もサポートしていることに起因する。 これまでは、SSLv2をサポートしているだけではセキュリティ問題が生じるとは考えられていなかったが、調査の結果、簡単に攻撃できてしまうことが判明し、サーバやクライアントが危険にさ
Apple、App Storeからアプリを削除 SSL/TLS通信傍受の恐れ
米Appleは10月9日、App Storeで提供されていた複数のアプリについて、root証明書をインストールしてデータをモニタしていた可能性があるとして、App Storeから削除したことを明らかにした。 Appleによると、問題のアプリではSSL/TLSによるセキュリティ対策が破られる恐れがあった。SSL/TLSをかわされれば通信の暗号が解除され、ユーザーの個人情報などが傍受される可能性もある。 ユーザーがこうしたアプリを端末にインストールしていた場合は、自分のデータを保護するために、アプリと関連する設定プロファイルをiPhoneやiPadから削除する必要があるとAppleは述べ、具体的な削除方法も説明している。
LenovoのノートPCに不正なアドウェア、SSL通信を傍受
セキュリティ企業によると、LenovoのノートPCにプリインストールされていた「SuperFish」は、暗号化された通信を傍受して暗号を解除する仕組みをもっているという。 Lenovoのコンシューマー向けノートPCにプリインストールされていたソフトウェアの中に、暗号化された通信を傍受する不正なアドウェアが含まれていたことが分かったとして、セキュリティ研究者がブログなどで報告した。Lenovoも2月19日、同ソフトウェアの存在を確認し、プリインストールを1月で中止していたことを明らかにした。 セキュリティ企業Errata Securityのブログによると、問題が指摘されているのはLenovoのノートPCにプリインストールされていた「SuperFish」というソフトウェア。SSLで暗号化されたWebブラウザの通信を全て傍受して暗号を解除し、それを再び暗号化する仕組みを備えているという。 さらに
「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響
2015年の夏以降、Webアクセスの姿が大きく変わる可能性が出てきた。現在主に使われている「HTTP(HyperText Transfer Protocol)」の代わりに、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)を用いて通信を暗号化する「HTTPS(HTTP over SSL/TLS)」を利用したWebサイトやサービスが一気に増えることが予想されるからだ。 なぜHTTPの代わりにHTTPSを使うWebサイトやサービスが増えるのか。それは、HTTPSを利用するために必要となる「SSLサーバー証明書」(以下SSL証明書)を誰でも無償かつ簡単に入手できるようになるからである。これまでは、年間数千円から数万円程度の料金をベンダーに支払ってSSL証明書を取得する必要があった。2015年夏以降、これがタダで“も”入手できるようになる
アカウント情報を盗む偽Dropboxログインページ
世界のセキュリティベンダーのブログから、押さえておきたい話題をピックアップして紹介する。今回最初に紹介するのは、クラウドストレージサービス「Dropbox」の偽ログインページを使うフィッシングの話題だ。Dropboxの偽ログインページを使って大手電子メールサービスのアカウント情報を盗もうとする手口が確認されたとして、米シマンテックがブログで注意を呼びかけた。偽ログインページはDropbox上に設置されている。 シマンテックは毎日数百万通というフィッシングメールを観測する中で、Dropboxユーザーを狙ったフィッシングメールを確認した。「important(重要)」という件名で送られるそのメッセージは、ファイルが大きすぎて、あるいはセキュリティ上の理由で電子メールに添付できないため、メッセージ本文に掲載されているリンクをたどってファイルを閲覧するよう促す内容になっている。 しかしリンクをクリ
MicrosoftがSSL 3.0の「POODLE」脆弱性問題に対処 「Fix it」公開
今後数カ月以内にIEおよび同社オンラインサービス全般の初期設定でSSL 3.0を無効にする計画を明らかにした。 SSL 3.0に「POODLE」と呼ばれる深刻な脆弱性が見つかった問題で、米Microsoftは10月29日、SSL 3.0をワンクリックで無効にできる「Fix it」ツールをInternet Explorer(IE)の全バージョン向けに公開した。 Microsoftのアドバイザリーによると、Windowsは全バージョンがSSL 3.0を実装しており、この脆弱性の影響を受ける。悪用された場合、攻撃者が暗号化されたTLSセッションをダウングレードしてクライアントにSSL 3.0を使用させ、Webブラウザで不正なコードを実行できてしまう恐れがある。ただし、「顧客にとって高い危険性のある脆弱性とは考えられない」としている。 対策として、今後数カ月以内にIEでSSL 3.0へのフォールバ
CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
米Yahoo!、データセンター間通信の暗号化を発表 政府による侵入報道を受け
米Yahoo!のマリッサ・メイヤーCEOは11月18日(現地時間)、同社のデータセンター間の通信データを2048bitでSSL暗号化すると発表した。2014年第1四半期(1~3月)中に実施するという。 メイヤーCEOは「ご存じの通り、過去半年にわたって米連邦政府がYahoo!を含むテクノロジー企業のユーザーデータに無断でアクセスしていたと報じられている。あらためて言うが、Yahoo!は米国家安全保障局(NSA)にも他の政府機関にも、データセンターへのアクセスを許したことは一度もない」と語った。 米Washington Postは10月30日、エドワード・スノーデン氏が持ちだしたNSA機密文書の情報として、NSAと英政府通信本部(GCHQ)が合同作戦「MUSCULAR」で、米GoogleやYahoo!のデータセンターに通信回線を通じて侵入していたと報じた。 Yahoo!はメールの暗号化ではG
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
さよならSSL ~「安全な通信」標準が使用禁止になったわけ
「Firefox」の“SSL 3.0”対応を無効化できる拡張機能「SSL Version Control」NOT SUPPORTED