並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 174件

新着順 人気順

opensslの検索結果1 - 40 件 / 174件

  • Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件

    これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの(具体的にいうと2016年くらいまでの)古いクライアントたちは Let's Encryptさんを信用してくれなくなっちゃう・・・どうしよう」 DST Root CA X3「どれ、わしが死ぬ前に(有効期限が切れる前に)お前が信頼に値する旨を一筆書いて残せばいいじゃろう。サラサラ」 Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3 Validity Not Bef

      Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件
    • OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を

      OpenSSLに重大度「CRITICAL(致命的)」の脆弱(ぜいじゃく)性が発見されました。脆弱性への対応は迅速に行われており、日本時間の2022年11月1日22時~2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」が公開予定です。OpenSSLに重大度「CRITICAL」の脆弱性が発見されたのは、2014年に報告されて世界中を騒がせた「Heartbleed」に続いて史上2回目。修正版のリリース後には、速やかにアップデートを適用する必要があります。【2022年11月2日追記】その後の分析の結果、OpenSSL 3.0.7で修正された脆弱性の重大度は「HIGH(CRITICALの1段階下)」に修正されました。 Forthcoming OpenSSL Releases https://mta.openssl.org/pipermail/openssl-announce/202

        OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を
      • Let's EncryptのDST Root X3ルート証明書の期限切れとOpenSSLの影響についていろいろ試してみた

        Let's Encryptでこれまで長く使用されてきたIdentrust社発行のDST Root X3ルート証明書が、日本時間2021年9月30日23時1分15秒に期限切れになりました。十分時間を取って事前に移行計画や影響範囲、救える環境、救えない環境などアナウンスをしてきましたが、やはり、期限切れ以降、様々なサービスや製品で接続できないといった声が上がってきました。 特にOpenSSLに関しては、OpenSSL 1.0.2以前に影響があると9月13日に事前の注意喚起がOpenSSL公式ブログであったにもかかわらず、製品やサービスの奥底で使われていて気づかなかったのか、様々なOSや製品で古いものが組み込みで使われていたために影響が広かったように思います。 OpenSSLからの注意喚起の概要 2021年9月30日にLet's EncryptのDST Root X3ルート証明書の期限が切れるに

          Let's EncryptのDST Root X3ルート証明書の期限切れとOpenSSLの影響についていろいろ試してみた
        • OpenSSLに複数の重大な脆弱性、ただちに更新を - JPCERT/CC

          JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月8日、「JVNVU#91213144: OpenSSLに複数の脆弱性」において、OpenSSLに重大なセキュリティ脆弱性が複数存在すると伝えた。これら脆弱性が悪用されると、サービス運用妨害(DoS: Denial of Service)を受けたり、ユーザーがサーバへ送信したアプリケーションのデータを復号されたりする危険性がある。 JVNVU#91213144: OpenSSLに複数の脆弱性 脆弱性の詳細は、OpenSSLプロジェクトによる次のセキュリティアドバイザリにまとめられている。 OpenSSL Security Advisory [7th February 2023] 脆弱性が存在するとされるプロダ

            OpenSSLに複数の重大な脆弱性、ただちに更新を - JPCERT/CC
          • CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows - OpenSSL Blog

            Today we published an advisory about CVE-2022-3786 (“X.509 Email Address Variable Length Buffer Overflow”) and CVE-2022-3602 (“X.509 Email Address 4-byte Buffer Overflow”). Please read the advisory for specific details about these CVEs and how they might impact you. This blog post will address some common questions that we expect to be asked about these CVEs. Q: The 3.0.7 release was announced as

            • 「OpenSSL」にリモートコード実行などにつながる脆弱性 ~v3.0.5/1.1.1q」への更新を/最大深刻度は「High」

                「OpenSSL」にリモートコード実行などにつながる脆弱性 ~v3.0.5/1.1.1q」への更新を/最大深刻度は「High」
              • OpenSSL-2022/software at main · NCSC-NL/OpenSSL-2022

                You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                  OpenSSL-2022/software at main · NCSC-NL/OpenSSL-2022
                • Rust製TLS実装「Rustls」に注目せよ — OpenSSLを凌駕する性能とメモリ安全性を実現

                  10月23日、ISRGが「RustlsがOpenSSLやBoringSSLを凌駕する」という記事を公開した。この記事では、Rustlsのメモリ安全性とパフォーマンスに焦点を当て、TLSライブラリの進化について詳しく紹介されている。 10月23日、ISRGが「RustlsがOpenSSLやBoringSSLを凌駕する」という記事を公開した。この記事では、Rustlsのメモリ安全性とパフォーマンスに焦点を当て、TLSライブラリの進化について詳しく紹介されている。 以下に、その内容を紹介する。 Rustlsとは何か? Rustlsは、Rust言語で書かれ、メモリ安全性に優れたTLS(Transport Layer Security)実装である。 Rustlsはすでにプロダクション環境に対応しており、さまざまなアプリケーションで利用されている。C APIとFIPSサポートも備えており、既存のプログ

                    Rust製TLS実装「Rustls」に注目せよ — OpenSSLを凌駕する性能とメモリ安全性を実現
                  • ファイルをお手軽に暗号化したい! – openssl cms のススメ | IIJ Engineers Blog

                    はじめに 今回は、IIJ Engineers Blog編集部より、IIJ社内の雰囲気が少し垣間見えるような記事をお送りします。 IIJの社内掲示板では、エンジニアのちょっとした技術ネタが好評となって多くのコメントが付いたり、お役立ち情報が掲載されています。 そんな書き込みを眺めては、 「社内だけに留めておくのはもったいない。きっとこういった情報を欲している人もいるはず!」 と思い、編集部が社内掲示板からチョイスしたものを記事にしてみました。 今回紹介するのは「手軽にファイルを暗号化 - openssl cms」 手軽にファイルを暗号化する手法のひとつとして openssl cms を紹介します。 どうぞご覧ください! みなさん、機密情報を USB メモリを介して受け渡したり、ネットワークを介してコピーしたいとき、どうやって暗号化していますか? “gpg” を思い付いたあなた。エントロピーが

                      ファイルをお手軽に暗号化したい! – openssl cms のススメ | IIJ Engineers Blog
                    • OpenSSL 3.0.0 が出たので変更点を確認する

                      やまゆです。 現在 TLS の実装として一番に挙げられるライブラリは OpenSSL 1.1 ですね。 他に Google fork の BoringSSL や LibreSSL などがありますが、もともとはどちらも OpenSSL の実装をベースにしていますので、やはり大元としては OpenSSL になります。 執筆現在の OpenSSL 安定板バージョンは 1.1.1l です。 2.x はリリースされず 3.0 が次のリリースになる予定です。 このツイートによると、 来週火曜 に正式リリースされるようです。 追記 2021/09/07) OpenSSL 3.0.0 がリリースされました! こちらの記事から変更点について挙げていきます。 ライセンスの変更。今までは OpenSSL と SSLeay のデュアルライセンスでしたが、 Apache License 2.0 に変更されます。 バ

                        OpenSSL 3.0.0 が出たので変更点を確認する
                      • If OpenSSL were a GUI

                        "When something exceeds your ability to understand how it works, it sort of becomes magical." - Jony Ive *This is incomplete. It covers about 80% of one corner of OpenSSL's functionality. The certificate policy options have a lot more knobs that I didn't include. Carl Tashian (Website, LinkedIn) is an engineer, writer, exec coach, and startup all-rounder. He's currently an Offroad Engineer at Smal

                          If OpenSSL were a GUI
                        • OpenSSL Security Advisories - November 2022

                          Initial Publication Date: 2022/11/01 09:00 PDT AWS is aware of the recently reported issues regarding OpenSSL 3.0 (CVE-2022-3602 and CVE-2022-3786). AWS services are not affected, and no customer action is required. Additionally, Amazon Linux 1 and Amazon Linux 2 do not ship with OpenSSL 3.0 and are not affected by these issues. Customers utilizing Amazon Linux 2022, Bottlerocket OS or ECS-optimiz

                            OpenSSL Security Advisories - November 2022
                          • OpenSSLの「重大な」脆弱性を徹底解説 - Qiita

                            本記事は2022年11月4日(米国時間)に公開した弊社の英語ブログBreaking down the ‘critical’ OpenSSL vulnerabilityを日本語化した内容です。 なお、この脆弱性に関しては下記のブログもご参照ください。 2022年11月1日、OpenSSLチームは、深刻度 (Severity) が「高 (High)」の脆弱性2つ(CVE-2022-3602とCVE-2022-3786)の詳細を示すアドバイザリを公表しました。これは深刻度「クリティカル (Critical)」の脆弱性として予告されていましたが、実際のアドバイザリでは「高 (High)」に格下げされました。しかしながら、OpenSSLは主要な暗号化ライブラリの1つであり、インターネットのTLS暗号化通信の大部分を支えているため、これはまだ問題といえそうです。 この記事では、これら2つの脆弱性を特に

                              OpenSSLの「重大な」脆弱性を徹底解説 - Qiita
                            • 「OpenSSL」に暗号通信を解読可能な脆弱性“Raccoon Attack” ~パッチ提供のない旧版は注意/「OpenSSL 1.1.1」への移行を

                                「OpenSSL」に暗号通信を解読可能な脆弱性“Raccoon Attack” ~パッチ提供のない旧版は注意/「OpenSSL 1.1.1」への移行を
                              • OpenSSLが「緊急」の脆弱性に対処 2022年11月1日に新バージョンをリリース

                                OpenSSLプロジェクトによれば、今回のアップデートは「緊急」(CRITICAL)の脆弱(ぜいじゃく)性に対処するためのものだ。リリースに備えてユーザーには準備期間が設けられており、公開され次第迅速にアップデートを適用してほしいという意図がうかがえる。 OpenSSLでは、2014年に見つかった「CVE-2014-0160」いわゆる「Heartbleed」の名称で呼ばれる深刻な脆弱性が話題を集めた。それまで安全な通信を実現する基盤として広く利用されてきたOpenSSLに脆弱性が存在していたという事実は驚きを持って迎えられた。 今回リリースが予定されるOpenSSL 3.0.7で修正される脆弱性の深刻度は「緊急」とされており、CVE-2014-0160よりもリスクが高い可能性がある。今後の情報アップデートに注視し、迅速に対処することが求められる。 関連記事 世界でサイバーセキュリティ人材は

                                  OpenSSLが「緊急」の脆弱性に対処 2022年11月1日に新バージョンをリリース
                                • Telnetコマンドの替わりにOpenSSLを使う方法

                                  昔のネットワークには欠かせなかったTelnet かつてのネットワーク管理者、HTTPSやSSHが広く普及する前のネットワークでは、Telnetコマンドはなくてはならないコマンドだった。Telnetコマンドは、ネットワークを経由してリモートからホストにログインする方法として使われていた。現在のsshで行うような役割をTelnetは担っていたわけだ。 また、Telnetはリモートログインという用途のみならず、さまざまなサーバに接続して状況を調べるコマンドとしても使われていた。Telnetコマンドを使うと、ホストの任意のサービスに接続してインタラクティブに会話を行うことができる。当然、操作するには対象サービスのプロトコルを手動で入力する必要があるが、トラブルシューティングを行うにはうってつけのツールだった。多少の工夫をすれば、Telnetコマンド経由で対話処理を自動化することもできる。 Teln

                                    Telnetコマンドの替わりにOpenSSLを使う方法
                                  • OpenSSL の脆弱性対策について(CVE-2022-3602、CVE-2022-3786) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

                                    概要 OpenSSL は、SSL および TLS の機能を提供する、オープンソースのライブラリです。 この OpenSSL において、X.509 証明書の検証処理を通じてバッファオーバーフローが発生する脆弱性が確認されています。 本脆弱性が悪用されると、攻撃者が用意した悪意のある証明書によりオーバーフローが引き起こされ、結果としてサービス運用妨害(DoS)や遠隔からのコード実行を行われる可能性があります。 今後被害が拡大する可能性があるため、早急に対策を実施して下さい。 影響を受けるシステム OpenSSL 3.0.7 より前の 3.0 系のバージョン OpenSSL 1.1.1 および 1.0.2 は、この問題の影響を受けません。 対策 1.脆弱性の解消 - アップデートを実施 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正した次のバージョンを

                                      OpenSSL の脆弱性対策について(CVE-2022-3602、CVE-2022-3786) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
                                    • 【セキュリティ ニュース】「OpenSSL」にセキュリティアップデート - 脆弱性の評価は下方修正(1ページ目 / 全1ページ):Security NEXT

                                      OpenSSLの開発チームは、協定世界時11月1日に事前予告どおりセキュリティアップデート「同3.0.7」をリリースし、複数の脆弱性に対処した。当初重要度は「クリティカル(Critical)」を予定していたが、「高(High)」へと下方修正されている。 今回明らかにされた脆弱性は、「X.509証明書」の検証処理を通じてバッファオーバーフローが生じるおそれがある「CVE-2022-3602」。細工された証明書を処理するとサービス拒否が生じたり、リモートよりコードを実行されるおそれがある。 重要度はもっとも高い「クリティカル」との触れ込みだったが、テストの結果や、多くのモダンなプラットフォームではスタックオーバーフローの保護機能など緩和策を備えていることを考慮し、開発チームでは重要度を「高(High)」と1段引き下げた。 また「CVE-2022-3602」とあわせて、同脆弱性の調査時に発見され

                                      • 「OpenSSL 1.1.1g」公開、深刻度“High”の脆弱性を修正

                                          「OpenSSL 1.1.1g」公開、深刻度“High”の脆弱性を修正 
                                        • 「OpenSSL」に2件の脆弱性、深刻度は“高” ~「OpenSSL 1.1.1k」への更新を/不正なCA証明書を受け入れてしまう可能性

                                            「OpenSSL」に2件の脆弱性、深刻度は“高” ~「OpenSSL 1.1.1k」への更新を/不正なCA証明書を受け入れてしまう可能性
                                          • 「OpenSSL 1.1.1」のサポートまで6カ月を切る ~「OpenSSL 3.0/3.1」への移行を/プレミアムサポート契約を有償で購入することも可能

                                              「OpenSSL 1.1.1」のサポートまで6カ月を切る ~「OpenSSL 3.0/3.1」への移行を/プレミアムサポート契約を有償で購入することも可能
                                            • Ubuntu 22.04 には OpenSSL 3 しか存在しないため Ruby 3.1 未満のバージョンはビルドできない問題 - HsbtDiary(2022-05-12)

                                              ■ Ubuntu 22.04 には OpenSSL 3 しか存在しないため Ruby 3.1 未満のバージョンはビルドできない問題 タイトルが全てなんですが、 Ubuntu 22.04 Jammy には OpenSSL のバージョン 3 しか提供されないので、Ruby 3.1 未満、具体的には 2.7 や 3.0 はビルドできません。 https://bugs.ruby-lang.org/issues/18658 https://github.com/rbenv/ruby-build/pull/1974 独自に OpenSSL 1.1 をビルドしてそれらを --with-openssl-dir で指定すればビルドできますが、それはそれで面倒なので ruby-build で @znz さんがパッチを投げて今揉んでいるという状況です。 また、OpenSSL 3 に対応した openssl ge

                                              • OpenSSLコマンドでサーバの証明書情報を確認する4つの方法

                                                インターネットの安全を支えるOpenSSL TLSはインターネットを安全に利用する上で欠かすことのできない重要な要素だ。そして、その実装系のひとつであるOpenSSLは多くのサーバ管理者にとって欠かすことのできないソフトウェアとなっている。 ユーザーの多くはOpenSSLについて気にも留めていないか、パワーユーザーであればOpenSSLを暗号系のライブラリまたはフレームワークといった類のもの、という認識を持っているのではないだろうか。Webサーバの管理者であれば、Webサーバをセットアップする最初の段階で証明書の作成に利用するツールという認識を持っているかもしれない。しかし、OpenSSLはそれだけのソフトウェアではない。 OpenSSLは証明書署名要求や自己署名証明書の生成のみならず、ファイルの暗号化や復号化、証明書の検証や証明書有効期限の確認など、さまざまな機能を提供するコマンドでもあ

                                                  OpenSSLコマンドでサーバの証明書情報を確認する4つの方法
                                                • AWS IAM Role AnywhereをDocker+OpenSSLのRootCAで試してみる - YOMON8.NET

                                                  PKIベースでAWSのIAMロールを使える IAM Role Anywhereが発表されました。早速使えるようだったのでOpenSSLでCA構築して使ってみた手順を残しておきます。 環境汚さないためにDocker使っています。 AWS Identity and Access Management introduces IAM Roles Anywhere for workloads outside of AWS What is AWS Identity and Access Management Roles Anywhere? - IAM Roles Anywhere Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | AWS Security Blog [HostOS] RootCA用のDo

                                                    AWS IAM Role AnywhereをDocker+OpenSSLのRootCAで試してみる - YOMON8.NET
                                                  • QUICスタックとTLSライブラリの関係とOpenSSLの状況

                                                    図1: TLS over TCP と QUIC のスタック構造の比較はじめにQUICはTLSv1.3に相当するセキュリティを標準装備すると説明されます。図1はよく参照されるスタック構成ですが、TLSがQUICスタックの内部に埋め込まれています。縦に積み上げられた “スタック” になっていません。TLSの埋め込みは何を意味しているのでしょうか?本稿の前半ではTLSとQUICの関係と、TLSライブラリの使われ方をTLS over TCPと比較しながら解説します。後半ではOpenSSLのQUIC対応の状況についてふれます。 なお本稿で処理の流れを追う際は送信を中心に取り上げます。受信についても逆順で同様の処理が必要ですが解説は省略しています。 QUICとTLSv1.3の関係TLSには大きく分けて、ハンドシェイクプロトコルとレコードプロトコルがあります。前者は暗号スイートの調停や鍵交換、各種パラメ

                                                      QUICスタックとTLSライブラリの関係とOpenSSLの状況
                                                    • OpenSSL 3.0のTLS証明書用プライベート鍵生成方法

                                                      こんにちは、技術開発室の滝澤です。 前回(2021年7月)、『TLS証明書チェッカーcheck-tls-certの公開』というエントリーを公開しました。このcheck-tls-certを開発するにあたって、テスト用のPKI(Public Key Infrastructure、公開鍵基盤)を構築しました。 opensslコマンドを利用したPKI用のスクリプトを整備したのですが、開発当時ではOpenSSL 3.0の開発が進んでいることもあり、OpenSSL 3.0でも利用できるようにとドキュメントを読んでみると、「deprecated」(非推奨)の文字が散見されました。そのため、それを踏まえたスクリプトを書きました。この際に得られた知見を本記事で紹介します。 なお、2021年9月7日にOpenSSL 3.0.0がリリースされました。 本記事を1行でまとめると次のようになります。 OpenSSL

                                                      • OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起

                                                        JPCERT-AT-2021-0015 JPCERT/CC 2021-03-26(新規) 2021-03-29(更新) I. 概要2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する情報が公開されました。OpenSSLには、X.509証明書の検証不備の脆弱性や細工した再ネゴシエーションのメッセージを処理する際にNULLポインタ参照が発生する脆弱性があります。脆弱性が悪用された場合、不正なCA証明書によって検証が回避されたり、OpenSSLが実行されているサーバーがサービス運用妨害(DoS)を受けたりする可能性があります。 脆弱性の詳細については、OpenSSL Projectの情報を確認してください。 OpenSSL Project OpenSSL Security Advisory [

                                                          OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起
                                                        • Dell、HP、Lenovoのデバイスファームウェアが古いOpenSSL使用 サプライチェーンリスクが浮き彫りに

                                                          Dell、HP、Lenovoのデバイスファームウェアが古いOpenSSL使用 サプライチェーンリスクが浮き彫りに The Hacker NewsはDellとHP、Lenovoのデバイスファームウェアに古いバージョンのOpenSSLが使われていることを指摘した。調査によれば、10年以上前のOpenSSLが使われているデバイスも見つかった。

                                                            Dell、HP、Lenovoのデバイスファームウェアが古いOpenSSL使用 サプライチェーンリスクが浮き彫りに
                                                          • OpenSSL Client Compatibility Changes for Let’s Encrypt Certificates

                                                            For compatibility with older Android devices, we'll be relying on a signature from an expired root, which is supported by Android. However, as Ryan Sleevi points out in “Path Building vs Path Verifying,” older versions of OpenSSL will reject a certificate chain that includes a signature by an expired root, even if OpenSSL could validate the chain by ignoring that certificate. Let’s Encrypt is not

                                                              OpenSSL Client Compatibility Changes for Let’s Encrypt Certificates
                                                            • IAM Roles Anywhereのハンズオンを通して、OpenSSLとか証明書とかについて勉強できたのでメモ - Qiita

                                                              IAM Roles Anywhereのハンズオンを通して、OpenSSLとか証明書とかについて勉強できたのでメモAWSOpenSSLcloud9認証局 AWSエバンジェリストシリーズの特別編でIAM Roles Anywhereのハンズオンに参加したときに、OpenSSLやら証明書やら使用したので非常に勉強になりました。 ハンズオンの後に色々調べてみたので、個人的なメモとして残しておきます。 IAM Roles Anywhereとは 本筋とは外れるので詳細は調べていただくとして、IAM Roles Anywhereについてザクっと説明しておきます オンプレ機器からAWSのサービスを使う時に、IAMロールによるアクセス制御ができるサービス IAM Roles Anywhereは主に、以下の2つのコンポーネントから成り立つ 信頼アンカー:オンプレとAWSの間の信頼関係 認証局の証明書を登録する

                                                                IAM Roles Anywhereのハンズオンを通して、OpenSSLとか証明書とかについて勉強できたのでメモ - Qiita
                                                              • Old Let's Encrypt root certificate expiration and OpenSSL 1.0.2

                                                                Old Let's Encrypt root certificate expiration and OpenSSL 1.0.2 Sep 13, 2021 The currently recommended certificate chain as presented to Let’s Encrypt ACME clients when new certificates are issued contains an intermediate certificate (ISRG Root X1) that is signed by an old DST Root CA X3 certificate that expires on 2021-09-30. In some cases the OpenSSL 1.0.2 version will regard the certificates is

                                                                • OpenSSLに脆弱性、アップデートを

                                                                  JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月6日、「JVNVU#93032579: OpenSSLに複数の脆弱性」において、OpenSSLに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって任意コマンドの実行やサービス運用妨害(DoS: Denial of Service)を引き起こされる可能性があるとされており注意が必要。 脆弱性に関する情報は次のページにまとまっている。 OpenSSL Security Advisory [03 May 2022] OpenSSL Security Advisory [03 May 2022] 脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。 OpenSSL 1.0.2ze

                                                                    OpenSSLに脆弱性、アップデートを
                                                                  • さくらインターネット、オープンソースソフトウエアへの支援の一環として「OpenSSL」のブロンズスポンサーに参画|さくらインターネット株式会社

                                                                    さくらインターネット、オープンソースソフトウエアへの支援の一環として「OpenSSL」のブロンズスポンサーに参画 クラウドコンピューティングサービスを提供するさくらインターネット株式会社(本社:大阪府大阪市、代表取締役社長:田中 邦裕)は、TLSライブラリで広く利用されているオープンソースソフトウエア「OpenSSL」へブロンズスポンサーとして参画いたします。 多くのウェブサイトやウェブサービスを含むインターネット通信において、通信を暗号化し、個人情報やプライバシーを守ることが重要になっています。 OpenSSLは、通信プロトコルであるSSL/TLSをウェブサーバーなどで利用するためのTLSライブラリの一つで、オープンソースソフトウエアとして運営されています。ウェブサイトをhttpsで始まる暗号化されたURLで、すべてのページへアクセスできるようにする「常時SSL化」が一般的となった現在、

                                                                      さくらインターネット、オープンソースソフトウエアへの支援の一環として「OpenSSL」のブロンズスポンサーに参画|さくらインターネット株式会社
                                                                    • OpenSSL warns of critical security vulnerability with upcoming patch

                                                                      So we should all be concerned that Mark Cox, a Red Hat Distinguished Software Engineer and the Apache Software Foundation (ASF)'s VP of Security, this week tweeted, "OpenSSL 3.0.7 update to fix Critical CVE out next Tuesday 1300-1700UTC." How bad is "Critical"? According to OpenSSL, an issue of critical severity affects common configurations and is also likely exploitable. It's likely to be abused

                                                                        OpenSSL warns of critical security vulnerability with upcoming patch
                                                                      • 脆弱性を修正した「OpenSSL 3.0.7」が予告通り公開 ~ただし、深刻度評価は引き下げ/リモートから任意コードを実行される可能性のある欠陥2件

                                                                          脆弱性を修正した「OpenSSL 3.0.7」が予告通り公開 ~ただし、深刻度評価は引き下げ/リモートから任意コードを実行される可能性のある欠陥2件
                                                                        • 「OpenSSL」v1.1.0iが公開 ~NULLポインター参照の脆弱性に対処/DoS攻撃を受ける可能性があり、深刻度は“高”

                                                                            「OpenSSL」v1.1.0iが公開 ~NULLポインター参照の脆弱性に対処/DoS攻撃を受ける可能性があり、深刻度は“高”
                                                                          • OpenSSL に深刻度の高い脆弱性が新たに発見、この脆弱性について今知っておくべきこと - Qiita

                                                                            本記事は2022年10月31日に公開した英語ブログNew OpenSSL critical vulnerability: What you need to knowを日本語化した内容です。 ※日本語ブログ注記:リリース後、日本時間の2022年11月2日(水)に内容を一部更新しました。 ※最新情報に関するブログと、この脆弱性に関する解説記事のリンクを下記に記載しました。 2022年10月25日、OpenSSL プロジェクトは、重大なセキュリティ脆弱性に対処するために、 OpenSSL (バージョン 3.0.7) を近日中にリリースすることを発表しました。 この脆弱性(1つではなく2つありました)は2022年11月1日(火)に公開され、OpenSSLプロジェクトは問題点と修正の詳細を記したブログを公開しました。この脆弱性と、なぜ「クリティカル(Critical)」から「高(High)」に下がっ

                                                                              OpenSSL に深刻度の高い脆弱性が新たに発見、この脆弱性について今知っておくべきこと - Qiita
                                                                            • OpenSSL Security Advisory : CA certificate check bypass with X509_V_FLAG_X509_STRICT (CVE-2021-3450)

                                                                              • 【セキュリティ ニュース】「TLS 1.2」以前に「Raccoon Attack」のおそれ - OpenSSL、F5などが対処(1ページ目 / 全2ページ):Security NEXT

                                                                                「TLS 1.2」以前において、「Diffie-Hellman(DH)鍵交換」を利用している場合に、暗号化された通信が解読可能となる攻撃手法「Raccoon Attack」が明らかとなった。マイクロソフトは、9月の月例パッチで対処しており、「OpenSSL」やF5の「BIG-IP」の旧バージョンなども影響を受けるという。 「TLS 1.2」以前において「DH鍵交換」を利用している場合に、中間者攻撃によって「TLSハンドシェイク」における「プリマスターシークレット」を特定することが可能となる脆弱性が明らかとなったもの。 ルール大学ボーフムやテルアビブ大学、パーダーボルン大学などの研究者が発表した。攻撃手法は「Raccoon Attack」と名付けられている。特に頭文字などより名付けられたわけではなく、ロゴには「Raccoon」が意味するアライグマがあしらわれている。 同脆弱性では、複数のTL

                                                                                • OpenSSLに無限ループの脆弱性、アップデートを

                                                                                  OpenSSLプロジェクトチームは3月15日、「OpenSSL Security Advisory [15 March 2022] - Infinite loop in BN_mod_sqrt() reachable when parsing certificates (CVE-2022-0778)」において、OpenSSLに処理が無限ループに陥る脆弱性が存在すると伝えた。深刻度は重要(High)と評価されており注意が必要。すでに問題に対処したバージョンが公開されていることから、該当するバージョンを使用している場合はアップデートを適用することが望まれる。 OpenSSL Security Advisory [15 March 2022] - Infinite loop in BN_mod_sqrt() reachable when parsing certificates (CVE-202

                                                                                    OpenSSLに無限ループの脆弱性、アップデートを