無料SSLサーバ証明書発行のLet's Encryptに脆弱性 犯罪者が悪用する“穴”とは?関連キーワード サイバー攻撃 | ハッキング | セキュリティ 無料でSSLサーバ証明書を発行する認証局(CA)「Let's Encrypt」について、ドメイン所有権の検証方法に脆弱(ぜいじゃく)性があることが分かった。サイバー犯罪者は実際に所有していないドメインのSSLサーバ証明書を取得できる可能性があるという。脆弱性は、ドイツの研究機関であるフラウンホーファー研究機構のサイバーセキュリティ分析部門が見つけた。 意図的に検証を失敗させる巧妙な手口
OpenSSL代替の「LibreSSL」、急ピッチで開発中
The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. OpenBSDプロジェクトはOpenSSLのセキュリティ脆弱性(通称Heartbleed)が発覚して以来、OpenSSLのセキュリティ脆弱性やバグを修正する作業に取りかかり、最終的にOpenSSLからフォークした「LibreSSL」プロジェクトを発足させた。OpenBSDは今後OpenSSLをベースシステムから抜き、代わりに「LibreSSL」をTLS/SSLの実装系として採用することになる。 Heartbleedセキュリティ脆弱性が発覚する前にOpenBSDに取り込まれていたOpenSSLの実装と、現在のOpenBSD CURRENTに含まれているLibreSSLを比較すると、ソースコードのサイズで26%
OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ
オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に64Kバイトのメモリが露呈されてしまう脆弱性が発覚し、この問題を修正した「OpenSSL 1.0.1g」が4月7日に公開された。 OpenSSLのセキュリティ情報によると、脆弱性はTLS Heartbeat拡張の処理における境界チェックの不備に起因する。悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れがある。 この脆弱性は、OpenSSL 1.0.1fと1.0.2-beta1を含む1.0.1および1.0.2-betaリリースに存在しており、1.0.1gで修正された。直ちにアップグレードできない場合のために、「OPENSSL_NO_HEARTBEATS」のフラグを有効にして再コンパイルする方法も紹介している。 この問題についてOpenSSLを使ったサービスを提供しているセキュリティ企業のC
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
