sshによるユーザ列挙攻撃"osueta" - ろば電子が詰まつてゐる
ものすごく遅いレポートですが、先日、ゆるふわ勉強会こと さしみjp ささみjpの#ssmjp 2014/06 に参加させて頂きました。 この中で、@togakushiさんの発表「OpenSSH User EnumerationTime-Based Attack と Python-paramiko」が面白かったのでそのメモです。 osuetaとは何か OpenSSHでは、パスワード認証の際に長い文字列(目安で数万文字)を与えると、存在するユーザと存在しないユーザの場合で応答速度が変わってきます。環境によりこの時間差は結構違うようですが、私の試した範囲では、 存在するユーザの場合は数十秒 存在しないユーザの場合は数秒 で応答が返りました(この応答速度は目安です、もちろんマシンスペックによって違うでしょう)。これにより、複数のユーザでsshログイン試行をおこない、その応答時間を計測することでユー
iPhone 5sに脆弱性 50口径ライフルで撃つと壊れる
いつもの「50口径ライフルで撃つと壊れる」シリーズに、iPhone 5sが登場していました。深刻な脆弱性(?)が判明する模様をご覧ください。 検証に使われた獲物は50口径の対物ライフル(M82A1)。「龍が如く OF THE END」で主人公の桐生一馬が使っていたタイプですね。ということで、さっそく1発目をぶっ放したところ、当然のごとく貫通。品薄のゴールドモデルに綺麗な穴が空いてしまいます。そして、さらに放たれた追撃によって、完全に終了。四方八方に散る姿には、ちょっと切なくなってしまいました。 目標:iPhone 5s ファイアー ドーン 向こう側が見えるッ もうやめて、5sのライフはゼロよ ドカーン 合掌。 関連キーワード iPhone 5s | 脆弱性 advertisement 関連記事 いつもの:iPad miniに脆弱性 機関銃で撃つと壊れることが判明 知ってた。 因縁の対決:防
OpenSSH 情報 - [Security][OpenSSH] SSHプロトコルに平文を回復できる脆弱性
http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txtやCPNI-957037: SSH 通信において一部データが漏えいする可能性, Plaintext Recovery Attack Against SSH - SSH - Company - News, CPNI-957037: SSH 通信において一部データが漏えいする可能性 - セキュリティホール memoによると, SSHプロトコルに設計のエラーがあり, OpenSSHの標準の設定だと, 2の-14〜-18乗の確率で14〜32bitの平文を回復できる可能性があるとのことです(当初32バイトと書きましたが間違いでした, また手法によって確率と回復できる平文のbit数に違いがありました). 攻撃の詳細はわかりませんが, 対策として暗号モードにCTRモードを利用することが挙げ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
