Heartbleed検知スクリプトのバグについて
以下の記事を読みました。 Bugs in Heartbleed detection scripts. ちょうど昨日、Heartbleedの検知スクリプトをいくつか読んでブログまで書いたので非常に興味深い内容でした。 この記事の内容を簡単に箇条書きします。 Nessus、Metasploit、NmapなどいろいろなところからHeartbleedを検知する手段(スクリプト)がリリースされているが、そのほとんどにバグがある。実際は脆弱性がある(脆弱性が存在する可能性がある)のに、ないと判定してしまう。実際にいろいろなスクリプトを使って検証していた時に、スクリプトによって判定結果が違うことに気付いた。そこでスクリプトの処理を見たところバグを見つけた。Jared Staffordさんが書いたPoCには、“quick and dirty demonstration” と書いてある。このPoCが他の検知
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
