OpenSSL #ccsinjection Vulnerability
[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability 概要 OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。 対策 各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 (随時更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI 原因 OpenSSLのChangeCipherSpecメッセージの処理に発見
スノーデン事件の裏で起きていたSSL秘密鍵を巡る戦い:Geekなぺーじ
今月7日から9日にアリゾナ州で開催されたNANOG 59で、Ladar Levison氏がFBIにサービス全体のSSL秘密鍵を要求された話が公開されていました。 Ladar Levison氏が運営していた、Lavabitという電子メールサービスはスノーデン事件に関連して突如8月8日に閉鎖されています。 閉鎖時には詳細が書かれておらず、様々な憶測が語られていましたが、世界中から多数のネットワークエンジニアが集まるNANOGで、その一部始終が語られました。 この発表は、NANOG 59が開始される前の週に、裁判所が調査対象の氏名以外を機密解除したことによって実現しています。 インターネット上で提供されているサービス事業者にSSL秘密鍵を提出させ、かつ、その事実の公表が違法行為となるようにされてしまっている一方で、こういった内容を公的に語れるように裁判所で戦って、実際にそれを勝ち取るというのは凄
パスワードの定期的変更について徳丸さんに聞いてみた(1)
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
連結不能、非識別化とは何のことか(1)
以前からずっと議論はされてきているのですが、ここのところまた私の周りでは、「非識別化」だとか「匿名化」だとかといったことの意味を明らかにしようとする活動が活発化してきています。これは、今年の6月25日に総務省のパーソナルデータ利用・活用に関する研究会の報告書が発表 (以後、総務省報告書と言及)されたことを契機にしています。 この報告書の中で特に注目されるのは、同報告書の33ページで、「米国のFTCが2012年3月、消費者データを収 集し利用する企業の行動枠組みについてまとめた報告書である「急速に変化す る時代における消費者プライバシーの保護」 (筆者注:以後、FTC報告書と言及)に見られるようなFTCにおける考え方等を踏まえ、次のような 条件をすべて満たす場合は、実質的個人識別性はないといえるため、保護され るパーソナルデータには当たらないとして、本人の同意を得なくても、利活用 を行うこと
プライバシーエンジニアを育てよう
危機感があったからです。意見書は2013年4月の論点整理と、6月の報告書案で2回出しましたが、まず言いたいのは、政府がパーソナルデータの利用や活用を言い出したとして、規制緩和だと誤解して浮かれる人がいることです。確かに一部は規制緩和ですが、別の一部は規制を強化して産業振興のためのエンフォースメントを目指しているのです。 案の定、誤った解説も出始めています。例えば、政府がビッグデータビジネスを後押ししているという趣旨のインターネットの記事では、弁護士の方が誤ったコメントをされています。携帯電話の位置情報データは個人情報と何が違うのかというインタビュアーの質問に、「性別や年齢層だけでは個人を識別できないので、個人情報保護法の対象である個人情報ではない」「政府は住所や氏名を排除した匿名化データの利用を促進しようとしている」と答えている。これは間違っています。 弁護士さえ誤った解釈をしているという
Amazon EC2でサーバを起動したらアタックされた!ので、運用前にチェック・対策しましょうという話 - 元RX-7乗りの適当な日々
クラウドを使っていたら、こんなことがありました。(実話) Amazon EC2用の固定IPアドレス(Elastic IP Address)を取得する Amazon EC2でサーバ(インスタンス)を起動する 先ほど取得した固定IPアドレスを、EC2のサーバに割り当てる EC2のサーバでApacheを起動する Apacheのプロセス数がいきなり250個オーバーになる(MaxClientsの値にぶつかる) Apacheのログを見ると、常識を超えた連続HTTPアクセス(DoSアタック)を受けていることが判明 EC2で、別の固定IPアドレスを取得する 取得した別の固定IPアドレスを、(アタックを受けている)EC2のサーバに割り当てなおす 静けさを取り戻す ← imkk いやー、噂には聞いていましたが、何気に初めて遭遇しました。 クラウドサービス(IaaS等)では、別のユーザが以前に利用していたIPア
LZH書庫のヘッダー処理における脆弱性について(2010年版)
このページでは, 『LZH 書庫のヘッダー処理における脆弱性について』 (MHVI#20061019) で述べた LZH 書庫等のヘッダー処理における脆弱性について, 2010 年 4 月現在での, 各種ソフト及び UNLHA32.DLL, UNARJ32.DLL, LHMelt (LMLzh32.dll) の対応状況について記述しています。 修正情報等の詳細については各ソフトのドキュメント等を参照してください。 LZH 書庫のヘッダー処理における脆弱性については, LHA for UNIX 1.14 における CVE-2004-0234 を始めとして, 多くのソフトについて同様の情報が公開され修正が行われているところです。 この脆弱性は, ID 0x01 (ファイル名) や 0x02 (パス名) の拡張ヘッダーに比較的長い名前が格納されていると, スタックやヒープ領域のバッファーオーバー
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
WASForum 2010 - 発声練習
WASForumに参加してきた。面白かった。なんとなく知っていたキーワードをちゃんと説明してもらって位置づけをはっきりすることができたし、今の流行りはどのあたりなのかを知ることができた。プログラムはこちら。Twitterの#wasfタグを使っていたらしい、それに関するつぶやきはTogetter:WASForumまとめにまとめられていた。 終始、高木さんがネタになっていたのは面白かった。そして、高木さんもそれを遠慮なく利用して、セッションハイジャックの実例を…。たのしいフォーラムでした。講演者のみなさま、開催者のみなさま、おつかれさまでした。 門林さん:オープニングセッション -「Webサイトを安全に使う秘技とユーザが直面する3つの危険」 ちょいとあおり気味のオープニングセッションだった。 松岡さん:国民のためのウェブサイトを運営するID認証の舞台裏 Yahoo JapanにおけるID認証周
Ptrace と TOCTOU 攻撃 - kazuhoのメモ置き場
帰国して、ようやく 404 Blog Not Found:perl - Shibuya.pm #11:The Catcher in the INT 80h が読めるようになった id:kazuhooku です。弾さんのスライドは、FreeBSD 特有の事情と、その問題をカバーしようとするための努力について解説していて、とてもおもしろく読ませていただきました。が、一点、気になったのが TOCTOU (Time-Of-Use Time-Of-Attack) 攻撃への対策についてです。TOCTOU 攻撃とは何か、端的に言うと、 You can't stop the invocation but you can still poke the argument on the stack. Shibuya.pm #11:The Catcher in the INT 80h とのことですが、同様のことを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
純真無垢なプログラマーがアフィリエイトIDを書き換える素晴らしいブラウザ拡張機能を公開していた件(山本一郎) - 個人 - Yahoo!ニュース
https://hueniverse.com/2010/05/introducing-oauth-2-0/