There’s a new SSL/TLS problem being announced today and it’s likely to affect some of the most popular web sites in the world, owing largely to the popularity of F5 load balancers and the fact that these devices are impacted. There are other devices known to be affected, and it’s possible that the same flaw is present in some SSL/TLS stacks. We will learn more in the following days. If you want to
2018/01/09追記 TLS1.3の仕様ではダウングレード攻撃対策が異なっています。 TLS1.3もしくはTLS1.2に対応したサーバは、それ以下のTLSバージョンをねごシーエションする際はServerHelloのランダムの下位ビットに規定の文字列を挿入する決まりになりました。 クライアントはランダムの下位ビットを見てダウングレードしていないか確認します 2015/04/26追記 rfc7507としてTLSのSCSVはRFCとなりました。 draft-00よりIANA Considerationsの追加や、DTLSに関する記述が追加されています。 2015/08/04追記 中間者攻撃と言う表現は盗聴行為を含む攻撃であるが、今回は盗聴行為については必要が無いため表現を変更いたしました。 以上 ダウングレード攻撃 TLS通信を行う際、ハンドシェイクに失敗した場合にプロトコルのバージョンを下
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 もくじ 1. はじめに 2. SSLv3を無効化できる場合のサーバー対策 2.1. Apache HTTPD Server + mod_ssl 2.2. Apache HTTPD Server + mod_nss 2.3. nginx 2.4. lighttpd 2.5. Microsoft IIS 2.6. (訂正)Apache Tomcat (Java JSSE) 2.7. Node.js 2.8. IBM HTTP Server 2.9. Amazon Web Services 2.10. その他のサーバー 2.11. SSLv3 を無効化するリスク 2.12. OpenLDAP 3. 諸般の事情で SSLv3 を有効にせざるを得ない場
SSL v3 をサポートするプログラムは、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能性があります。 OpenSSL をはじめとする SSL v3 をサポートするソフトウェアが本脆弱性の影響を受ける可能性があります。 [2014年12月11日 - 追記] TLS を実装している製品においても、本脆弱性の影響を受ける場合があることが公開されました。 SSL v3 プロトコルに対して、中間者攻撃により通信内容を解読する攻撃手法が報告されています。この攻撃手法は "POODLE" (Padding Oracle On Downgraded Legacy Encryption) と呼ばれています。 ウェブブラウザ等のプログラムの多くでは、上位のプロトコルで通信できない場合にプロトコル
e-Taxソフト等をご利用になる場合には、暗号化通信を有効にする必要がありますが、 平成29年5月13日(土)以降はTLS1.2以上に対応していない環境からはe-Taxソフト等を利用することができなくなりました。 インターネットオプションにおいて、暗号化通信が有効となっているか以下の手順で確認してください。 1. 以下の手順により、「インターネットオプション」を表示します。 <Windows 10をご利用の場合> Windowsの「スタート」メニューから「Windowsシステムツール」→「コントロールパネル」→「ネットワークとインターネット」→「インターネットオプション」を表示します。 <Windows 11をご利用の場合> Windowsの「スタート」メニューから「すべてのアプリ」→「Windowsツール」→「コントロールパネル」→「ネットワークとインターネット」→「インターネットオプシ
米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。 同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。 SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。 この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。 Googleはシステム管理者はWebサイトの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く