Pros and Cons of Ceramic BracesPros and Cons of Ceramic Braces Just as everything under the sun has ups and downs so do Ceramic Dental Braces. Which is why not many chose this as they are expensive, delicate, and doesn't suit every style of teeth. Do Ceramic Braces Stain?
SANS Internet Storm Center
SANS ISC: SANS Internet Storm Center SANS Site Network Current Site SANS Internet Storm Center Other SANS Sites Help Graduate Degree Programs Security Training Security Certification Security Awareness Training Penetration Testing Industrial Control Systems Cyber Defense Foundations DFIR Software Security Government OnSite Training SSL CRL Activity Participate: Learn more about our honeypot networ
Heartbleed bug による秘密鍵漏洩の現実性について – IIJ Security Diary
本稿では HeartBleed bug による秘密鍵漏洩の可能性を考察します。 OpenSSL で利用される RSA 秘密鍵のフォーマットは PKCS#1[1]Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1 http://tools.ietf.org/html/rfc3447#section-3.2 で定められています。暗号化された暗号文の復号、もしくはデジタル署名を行う際に RSA の秘密鍵による操作が行われます。SSL/TLS サーバに https でアクセスした場合には、その両方の用途で秘密鍵が用いられます。そのため HSM などの仕組みが無い場合には秘密鍵がメモリ上に展開されている可能性が高いと言えます。実際 Cloudflare Challenge[2
Heartbleed検知スクリプトのバグについて
以下の記事を読みました。 Bugs in Heartbleed detection scripts. ちょうど昨日、Heartbleedの検知スクリプトをいくつか読んでブログまで書いたので非常に興味深い内容でした。 この記事の内容を簡単に箇条書きします。 Nessus、Metasploit、NmapなどいろいろなところからHeartbleedを検知する手段(スクリプト)がリリースされているが、そのほとんどにバグがある。実際は脆弱性がある(脆弱性が存在する可能性がある)のに、ないと判定してしまう。実際にいろいろなスクリプトを使って検証していた時に、スクリプトによって判定結果が違うことに気付いた。そこでスクリプトの処理を見たところバグを見つけた。Jared Staffordさんが書いたPoCには、“quick and dirty demonstration” と書いてある。このPoCが他の検知
インターネットを苛んでいる Heartbleed バグ発見の経緯とは | readwrite.jp
「最初の傷が一番深い(The First Cut Is the Deepest)」という歌をご存じだろうか? 残念ながら、今世間を賑わせている Heartbleed バグに関して言えば、この歌は全く当てはまらない。なぜなら、このバグでオンライン上のセキュリティが負った傷について知れば知るほど、その深さと危険度は増していく一方だからだ。 関連記事:ウェブ・セキュリティを脅かす重大なバグ「Heartbleed」について知っておくべきこと グーグルのエンジニア、ニール・メヒタとフィンランドのセキュリティー企業 Codenomicon 社が個別に発見した Heartbleed は、「近代のウェブを襲う最も深刻なセキュリティー問題の一つ」とされている。Heartbleed を発見、命名した Codenomicon 社のチームを率いる CEO、デビッド・シャルティエを取材して、その経緯と今後の展開につ
OpenSSLの脆弱性で初の被害、カナダや英国で発覚
カナダ歳入庁や英MumsnetはOpenSSLの脆弱性が発覚した直後に対応に乗り出したが、既に納税者情報やパスワードなどの情報が流出していた。 オープンソースのSSL/TLS実装「OpenSSL」に極めて重大な脆弱性が発覚した問題で、カナダ歳入庁は4月14日、何者かがこの脆弱性を悪用して、納税者約900人の社会保障番号を同庁のシステムから削除していたことが分かったと発表した。 また、育児情報サイトの英Mumsnetもこの問題を悪用され、ユーザーのアカウントに不正アクセスされていたことが分かったと発表した。OpenSSLの脆弱性は極めて広範に影響が及んでいるが、実際の被害が伝えられたのは初めて。 カナダ歳入庁の場合、4月8日に問題が発覚した時点でオンラインサービスを停止し、OpenSSLの脆弱性を修正。全システムの安全性を点検した上で13日にサービスを再開したが、この過程で納税者情報に対する
OpenSSL 情報漏えいを許してしまう脆弱性 ~Heartbleed 問題~ について
2014年04月07日、 OpenSSL 情報漏えいを許してしまう脆弱性(CVE-2014-0160) ~Heartbleed 問題~ について報告されました。 インシデント情報活用フレームワーク検討 WGでは、インシデント対応技術調査 WG、日本シーサート協議会に加盟しているチームに協力を得て、インシデント発生を事前に予防する措置として、「OpenSSL 情報漏えいを許してしまう脆弱性 ~ Heartbleed 問題~」に関する公開情報を調査し、本レポートにまとめました。 ・OpenSSL 情報漏えいを許してしまう脆弱性 ~ Heartbleed 問題~ とは ・対策 ・ベンダ情報 ・観測日記 ・更新履歴 OpenSSL 情報漏えいを許してしまう脆弱性 ~ Heartbleed 問題~ は、 OpenSSL の TLS/DTLS 用 Heartbeat 拡張の実装に起因する情報漏えいを許
Heart Bleedを読んだ - The first cry of Atom
int dtls1_process_heartbeat(SSL *s) { unsigned char *p = &s->s3->rrec.data[0], *pl; unsigned short hbtype; unsigned int payload; unsigned int padding = 16; /* Use minimum padding */ heartbeatという機能の詳しいことは調べられていないけれどどうやらクライアントーサーバ型の機能を提供するものらしい。 つまり何らかのリクエストを受け取ってレスポンスを返すようなサービスを提供するものらしい。dtls1_process_heartbeatで大事なのは ポインタpだ。これはリクエストデータを受け取って格納している。このリクエストデータは構造体になっていて、以下のように記述されている。 typedef struct
ハートブリード、原因は開発者のミス―「OpenSSL」は少数のボランティアに依存
This copy is for your personal, non-commercial use only. Distribution and use of this material are governed by our Subscriber Agreement and by copyright law. For non-personal use or to order multiple copies, please contact Dow Jones Reprints at 1-800-843-0008 or visit www.djreprints.com. http://jp.wsj.com/article/SB10001424052702303433504579501080000871574.html
OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた - piyolog
HeartBleed(CVE-2014-0160)関係のリンク集、自分のメモ用なので不正確です。 HeartBleedの影響対象となるOpenSSLバージョン 以下のバージョンが影響を受けます。但し、システムによっては原因となっているheartbeat機能が無効化されている場合もあるため、バージョンが一致しただけで当該脆弱性の影響を受けるかは確定しません。 (1) OpenSSL 1.0.1系 バージョン名 リリース時期 CVE-2014-0160 OpenSSL 1.0.1 2012/03/14 脆弱性あり OpenSSL 1.0.1a 2012/04/19 脆弱性あり OpenSSL 1.0.1b 2012/04/26 脆弱性あり OpenSSL 1.0.1c 2012/05/10 脆弱性あり OpenSSL 1.0.1d 2013/02/05 脆弱性あり OpenSSL 1.0.1e
Heartbleed脆弱性の影響とパスワード変更に関する議論
Kenn Ejima @kenn heartbleedの影響で念のためパスワード変更しろって言ってくる理屈がよくわからない。関係なくね? 2014-04-11 12:07:35
OpenSSLの脆弱性 – Heartbleed について | OpenVPN.JP
このページはOpenVPN公式サイトのコンテンツ(“OpenSSL vulnerability – Heartbleed”)の翻訳ですが、完全な翻訳であることを保証するものではありません。正確な情報については公式サイトの情報も併せてご確認ください。 「Heartbleed」として知られているOpenSSLの脆弱性が2014年4月に発表されました。OpenVPNはデフォルトの暗号化ライブラリとしてOpenSSLを使用しているため、その影響を受けます。 どんな脆弱性ですか? OpenSSLの脆弱性により、攻撃者がプログラムのメモリ内にある情報を取得できる、という脆弱性です。メモリ内にはユーザーのセッションキー(データを暗号化するために使用されるキー)やマスターシークレットキーなどが格納されています。この脆弱性を持つOpenSSLを利用したOpenVPNが攻撃対象になった場合、VPNユーザーのキ
CVE-2014-0160 の OpenSSL の脆弱性対応 - @znz blog
Heartbleed によると今回の OpenSSL の脆弱性は影響が大きそうなので、 OpenSSL の更新をして再起動だけでも早めにした方が良さそうです。 再起動が必要なものは Debian なら debian-goodiesのcheckrestartで再起動が必要なプロセスを調べる のがオススメです。 Ubuntu なら libssl の更新は OS 自体を再起動した方が良いと思います。 秘密鍵を再生成した方が良いという話もあるようですが、 そこまでの対処は続報を待ってからでも良いかもしれません。 mod_spdy にも影響 (mod_spdy について 2014-04-09 に追記) mod_spdy も影響を受けるので、 mod-spdy-beta パッケージの 0.9.4.1-r397 以前を入れている場合は最新版 (2014-04-09 リリースの 0.9.4.2-r413
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.f-secure.com/us-en/articles
OpenSSL:宇都宮5図書館、システム停止し更新作業 - 毎日新聞
DeNA Engineering - DeNAエンジニアのポータルサイト
OpenSSLの“Heartbleed”脆弱性による被害が発生、カナダ歳入庁が発表 
Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately
暗号化ソフト欠陥、NSAは2年前から認識-情報収集に利用 - Bloomberg
Heartbleed | EFFector 27.07