タグ

heartbleedに関するmahboのブックマーク (12)

  • Heartbleed bug によるサーバ設定の状況変化 – IIJ Security Diary

    稿では日時間2014年4月8日未明に公開された HeartBleed bug について取り上げます。 脆弱性は OpenSSL 1.0.1 から 1.0.1f および 1.0.2beta1 において Heartbeat メッセージの処理において境界チェックの問題があり、OpenSSL が動作しているマシンのメモリ情報を取得可能な状態にあったことが公表されました[1]OpenSSL Security Advisory [07 Apr 2014] TLS heartbeat read overrun (CVE-2014-0160) https://www.openssl.org/news/secadv_20140407.txt。 RFC6520 で策定されている Heartbeat プロトコルは、リクエスト-レスポンス型の 2-way で完結する簡易なプロトコルで、SSL/TLS の R

    Heartbleed bug によるサーバ設定の状況変化 – IIJ Security Diary
  • Heartbleed bug による秘密鍵漏洩の現実性について – IIJ Security Diary

    稿では HeartBleed bug による秘密鍵漏洩の可能性を考察します。 OpenSSL で利用される RSA 秘密鍵のフォーマットは PKCS#1[1]Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1 http://tools.ietf.org/html/rfc3447#section-3.2 で定められています。暗号化された暗号文の復号、もしくはデジタル署名を行う際に RSA の秘密鍵による操作が行われます。SSL/TLS サーバに https でアクセスした場合には、その両方の用途で秘密鍵が用いられます。そのため HSM などの仕組みが無い場合には秘密鍵がメモリ上に展開されている可能性が高いと言えます。実際 Cloudflare Challenge[2

    Heartbleed bug による秘密鍵漏洩の現実性について – IIJ Security Diary
  • EC2インスタンスのOpenSSLのHeartbleed Bug対応 - Qiita

    した後、依存しているサービスをリスタートしてOKです。 opensslのバージョンが1.0.1eになったままになっているけど、パッチは当たっているから大丈夫だよって書いてあります。 Versionのところがopenssl-1.0.1e-37.66.amzn1以上かだけチェックはした方が良さそうです。 The updated package is openssl-1.0.1e-37.66.amzn1 Please note that even though this package is still named openssl-1.0.1e, it does contain the patches that were made available upstream for CVE-2014-0160.

    EC2インスタンスのOpenSSLのHeartbleed Bug対応 - Qiita
  • DeNA Engineering - DeNAエンジニアのポータルサイト

    技術を活かし、新しい価値を創造する DeNAのエンジニアは、想像を超えるDelightを届けるために何ができるかを考え、技術力と発想力で新しい価値を生み出しています。 多様な専門性を持ったエンジニアが切磋琢磨し、互いに刺激し合える環境や制度がさらなる成長へとつなげます。

    DeNA Engineering - DeNAエンジニアのポータルサイト
    mahbo
    mahbo 2014/04/15
    Heartbleedの解りやすい解説
  • OpenSSL脆弱性の影響を受けるサイト一覧(随時更新中)

    (日の銀行などの情報がまだ集まっていません。情報があれば、情報源を示すURLとともにお知らせ下さい) 2014年4月8日に、OpenSSLに脆弱性があることが発表され、インターネットでは大騒動を見せています。 Facebookや、Yahoo、GmailのようなGoogleのサービスなど、誰もが利用しているWebサイトがこの脆弱性にさらされていたので、当然ですね。 このOpenSSL脆弱性は、発見・発表までの約2年間、存在していたことになります。 多くのサイトでは、この発表を受けてすでに対処(セキュリティーホールを埋めるパッチを当てるなど)していますが、最大で2年間はIDやパスワード、クレジットカードの情報が漏れていた可能性があるので、安心して良い人は1人もいません。 これほど深刻なセキュリティ上の問題であるにもかかわらず、ニュースで連日報道されるということもないですし、(少なくとも私の)

    OpenSSL脆弱性の影響を受けるサイト一覧(随時更新中)
  • OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家

    OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家:チェック方法まとめ オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大。専門家は「最悪のケース、つまり秘密鍵の漏えいを想定して対処すべき」と述べている。 オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大している。OSやクラウドサービス、ネットワーク機器の中には、脆弱性のあるOpenSSLを利用しているものが多数あり、ベンダー各社が確認・対応を進めている。国内でもこの脆弱性の影響を受けるサイトが確認されており、中には一時的にサービスを停止し、対処を優先したサービスもある。 この脆弱性は、OpenSSL バージョン1.0.1/1.0.2系に存在する。Heartbeat拡張の実装に見つか

    OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家
  • OpenSSL 1.0.1/1.0.2系に脆弱性、秘密鍵漏えいの恐れも

    OpenSSL 1.0.1/1.0.2系に脆弱性、秘密鍵漏えいの恐れも:該当する場合はアップデートとサーバー証明書の再発行を 米国時間の2014年4月7日、OpenSSLのバージョン1.0.1/1.0.2系に、秘密鍵などの漏えいにつながる恐れのある深刻な脆弱性が発見された。 オープンソースのSSL/TLS暗号化ライブラリ、「OpenSSL」のバージョン1.0.1/1.0.2系に、秘密鍵などの漏えいにつながる恐れのある深刻な脆弱性(CVE-2014-0160)が発見された。JPCERTコーディネーションセンター(JPCERT/CC)はじめ複数のセキュリティ機関が、手元のOpenSSLのバージョンを確認し、必要に応じてバージョンアップなど適切な対処を取るよう呼び掛けている。 この脆弱性は、OpenSSL 1.0.1から1.0.1fならびに1.0.2-betaから1.0.2-beta1に存在する

    OpenSSL 1.0.1/1.0.2系に脆弱性、秘密鍵漏えいの恐れも
  • ネット史上最大級のバグ発見。カナダは確定申告を緊急停止、危険度は10段階の11?

    ネット史上最大級のバグ発見。カナダは確定申告を緊急停止、危険度は10段階の11?2014.04.10 17:005,417 satomi サイトでクレジットカード番号入力しても鍵がかかるから大丈夫、という過去15年ぐらいの安心感を根底から覆すバグが検出され、世界各地でサイト管理者を震え上がらせています。 それに伴い、カナダ政府は確定申告のサービスを緊急閉鎖しました。この件に関して、セキュリティの専門家Bruce Schneier氏(Co3社CTO兼EFF理事兼ハーバード大フェロー)は「壊滅的。10段階評価で考えると、これは11レベル」と青筋立てて叫んでいます。 このように一国の公共サービスも停止させる重大なバグの名前は「Heartbleed」。血を吹く心臓という意味です。これの何がどう怖いのか、少し説明していきます。 暗号鍵の握手 アップルの脆弱性の時も出たように、ネットでセキュアな取引き

  • OpenSSLの脆弱性で想定されるリスク - めもおきば

    JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ

    OpenSSLの脆弱性で想定されるリスク - めもおきば
  • CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば

    必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして

    CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば
  • OpenSSL の脆弱性に関する注意喚起

    各位 JPCERT-AT-2014-0013 JPCERT/CC 2014-04-08(新規) 2014-04-11(更新) <<< JPCERT/CC Alert 2014-04-08 >>> OpenSSL の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140013.html I. 概要 OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの 脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付す ることでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得 する可能性があります。 管理するシステムにおいて該当するバージョンの OpenSSL を使用している場合 は、OpenSSL Project が提供する修正済みバージョンへアップデートすること をお勧めしま

    OpenSSL の脆弱性に関する注意喚起
  • JVNVU#94401838: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性

    OpenSSL 1.0.1 から 1.0.1f まで OpenSSL 1.0.2 については、1.0.2-beta2 で対応予定とのことです。 OpenSSL の heartbeat 拡張の実装には、情報漏えいの脆弱性が存在します。TLS や DTLS 通信において OpenSSL のコードを実行しているプロセスのメモリ内容が通信相手に漏えいする可能性があります。

  • 1