セブン銀行、クラウドサービスの安全性確保でセキュリティ評価プラットフォームを導入 2024-08-21 09:44
セキュリティに関する情報 - ZDNET Japan
セブン銀行、クラウドサービスの安全性確保でセキュリティ評価プラットフォームを導入 2024-08-21 09:44
OpenSSL #heartbleed 脆弱性の影響とその後を考えるときのメモ - めもおきば
影響を受けたウェブサイトやソフトウェアの対応については、piyologさんの以下の記事に詳しいです。 オンライサービスや製品のHeartBleed(CVE-2014-0160)の影響についてまとめてみた OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた この記事では、それ以外の動きについてまとめていきます。先週の2つの記事と違い、あくまで個人的興味によるものです。 日本政府およびセキュリティ関連組織による情報公開 JPCERT/CC 2014-04-08 JPCERT-AT-2014-0013 OpenSSL の脆弱性に関する注意喚起 IPA 2014-04-08 OpenSSL の脆弱性対策について(CVE-2014-0160) 2014-04-16 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について 総務省 2014-04-15
患者450万人の個人情報流出、発端はOpenSSLの脆弱性だった
米病院チェーンから患者450万人の個人情報が流出した事件は、4月に発覚したOpenSSLの重大な脆弱性を突く攻撃でネットワークに侵入されていたことが分かった。 米病院チェーンのCommunity Health Systems(CHS)社から患者約450万人の個人情報が流出した問題で、米セキュリティ企業TrustedSecは8月19日、4月に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性を突く攻撃が、流出の発端だったことが分かったと伝えた。 CHSのネットワークは4~6月にかけて外部から攻撃され、系列の医療機関を受診した患者約450万人の氏名や住所、社会保障番号などが流出したとされる。TrustedSecは、この問題に関する調査に詳しい関係者から情報を入手したという。 それによると、攻撃者はHeartbleedの脆弱性を突いてCHSのJuniper製デバイスのメモリか
OpenSSLの「心臓出血」はクライアントにも影響、サーバーに情報を盗まれる
シマンテックは2014年4月16日、OpenSSLの「Heartbleed(心臓出血)」脆弱性は、SSL通信を行うサーバーソフトだけではなく、クライアントソフトにも影響を与えるとして改めて注意を呼びかけた。悪質なSSLサーバーに接続すると、PCのメモリー上にある情報を盗まれる恐れがある。 今回の脆弱性の影響を受けるのは、主にサーバーだと考えられる。脆弱性のあるOpenSSLを使っているWebサーバーに対して、細工を施したデータを送信されるだけで、サーバーのメモリー上にある情報を盗み出される恐れがある(関連記事:OpenSSLで露見した脆弱性、「心臓出血」の影響はどこまで及ぶ) 具体的には、そのサーバーを利用する別のユーザーがやり取りしているデータやパスワード、そのサーバーが利用しているSSL証明書の秘密鍵といった重要な情報を盗まれる危険性がある。
Heartbleed bug による秘密鍵漏洩の現実性について – IIJ Security Diary
本稿では HeartBleed bug による秘密鍵漏洩の可能性を考察します。 OpenSSL で利用される RSA 秘密鍵のフォーマットは PKCS#1[1]Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1 http://tools.ietf.org/html/rfc3447#section-3.2 で定められています。暗号化された暗号文の復号、もしくはデジタル署名を行う際に RSA の秘密鍵による操作が行われます。SSL/TLS サーバに https でアクセスした場合には、その両方の用途で秘密鍵が用いられます。そのため HSM などの仕組みが無い場合には秘密鍵がメモリ上に展開されている可能性が高いと言えます。実際 Cloudflare Challenge[2
Chromeは既定だとオンラインで証明書の失効確認していないので設定方法を調べてみた - piyolog
OpenSSLの脆弱性(HeartBleed)を悪用することでサーバーのSSL証明書秘密鍵が盗まれる可能性があり、この件を受けて偽のWebサイトの設置が懸念されています。影響を受けたサービスは証明書の再発行・失効処理を行っており、netcraftも証明書の失効が大量に来ていると報告しています。 Heartbleed certificate revocation tsunami yet to arrive | Netcraft HeartBleedの影響を受けたとされるyahoo.comやdropboxも脆弱性発覚後に証明書を再発行しています。 yahoo.com dropbox.com 証明書が失効されたWebサイトへアクセスするとどうなるか では最近証明書が失効されたWebサイトに訪れるとどうなるでしょうか。 IEやFirefox等は警告が表示されますが、Chromeは初期設定でオンライ
Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed?
Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed?2014-04-11 Below is what we thought as of 12:27pm UTC. To verify our belief we crowd sourced the investigation. It turns out we were wrong. While it takes effort, it is possible to extract private SSL keys. The challenge was solved by Software Engineer Fedor Indutny and Ilkka Mattila at NCSC-FI roughly 9 hours after the
インターネットの重大な問題が発覚。未対策サイトの利用はパスワード流出の恐れ!Heartbleed問題(林 信行) - 個人 - Yahoo!ニュース
インターネットで広く使われてる基礎技術に重大な欠陥が見つかりました。 長らく安全だろうと信じられ、さまざまなサービスをつくるのに広く使われていたOpenSSLという基礎技術が、「実は安全ではなかった」とが発覚したのです。 まだ、その方法で何か大きな被害などが報告されているわけではありませんが、数日前から欧米では大きな問題となりテレビや新聞でも報じられています。 これにより、画面上では「・」に置き換え表示されて他の人にわからないように思えるパスワードも含め、インターネット上の多くのやりとりが、傍受できる可能性が出てきました。 もちろん、既に解決策を見つけて対処をしているWebサイトも多数あります。 ちなみに米国ではmashableというブログが、この問題によってパスワードが漏洩する可能性があったWebサービスの一覧を公開しています: こうしたところでパスワードを盗まれると、今すぐには被害がで
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ
オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に64Kバイトのメモリが露呈されてしまう脆弱性が発覚し、この問題を修正した「OpenSSL 1.0.1g」が4月7日に公開された。 OpenSSLのセキュリティ情報によると、脆弱性はTLS Heartbeat拡張の処理における境界チェックの不備に起因する。悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れがある。 この脆弱性は、OpenSSL 1.0.1fと1.0.2-beta1を含む1.0.1および1.0.2-betaリリースに存在しており、1.0.1gで修正された。直ちにアップグレードできない場合のために、「OPENSSL_NO_HEARTBEATS」のフラグを有効にして再コンパイルする方法も紹介している。 この問題についてOpenSSLを使ったサービスを提供しているセキュリティ企業のC
Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style
Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style OpenSSL defect still exposing sensitive data even after patch is released. Lest readers think "catastrophic" is too exaggerated a description for the critical defect affecting an estimated two-thirds of the Internet's Web servers, consider this: at the moment this article was being prepared, the so-called Heartbleed bug
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
情報搾取型マルウェア「Ursnif」の亜種を使い多種の日本語メールによる攻撃が再開 | マルウェア情報局 | ESET
Heartbleed Explanation
Heartbleed Flaw Could Reach to Digital Devices, Experts Say (Published 2014)
OpenSSLの脆弱性を標的としたアクセスが増加、警察庁が注意喚起 
OpenSSLの“出血バグ”を抱えているサイト、「.jp」ではHTTPSサイトの45% 
Expired
Expired
What clients are proven to be vulnerable to Heartbleed?
PR: 2658 · openssl/openssl@4817504