OpenSSL 3.0.0 が出たので変更点を確認する
やまゆです。 現在 TLS の実装として一番に挙げられるライブラリは OpenSSL 1.1 ですね。 他に Google fork の BoringSSL や LibreSSL などがありますが、もともとはどちらも OpenSSL の実装をベースにしていますので、やはり大元としては OpenSSL になります。 執筆現在の OpenSSL 安定板バージョンは 1.1.1l です。 2.x はリリースされず 3.0 が次のリリースになる予定です。 このツイートによると、 来週火曜 に正式リリースされるようです。 追記 2021/09/07) OpenSSL 3.0.0 がリリースされました! こちらの記事から変更点について挙げていきます。 ライセンスの変更。今までは OpenSSL と SSLeay のデュアルライセンスでしたが、 Apache License 2.0 に変更されます。 バ
OpenSSLに再び脆弱性、MITM攻撃につながる恐れ
OpenSSLに再び脆弱性、MITM攻撃につながる恐れ:最初のリリースから16年間存在していた問題、修正版へのアップデートを推奨 オープンソースのSSL/TLS実装「OpenSSL」に、新たに複数の脆弱(ぜいじゃく)性が発見された。中にはMITM攻撃につながるおそれのある問題も含まれており、修正版0.9.8za/1.0.0m/1.0.1hへのアップグレードが呼び掛けられている。 オープンソースのSSL/TLS実装「OpenSSL」に、新たに複数の脆弱(ぜいじゃく)性が発見された。中にはMan-in-the-Middle(MITM)攻撃によって、暗号化通信の内容を第三者(=攻撃者)が読み取ったり、改ざんしたりすることができる深刻な脆弱性も含まれている。 開発元のOpenSSLプロジェクトは米国時間の2014年6月5日、セキュリティアドバイザリを公開し、6つの問題を修正したバージョン0.9.8
OpenSSL マジヤバいっす! ~ Heartbleed 脆弱性を試してみたよ - モラトリアムこじらせた
実際にデータが漏れる様子を見たい方はコチラ→あ、何か漏れてる… OpenSSL Heartbleed 実験その2へどうぞ。 さて ネット上の通信の大部分において「安全」を担保していた OpenSSL なのですが... でっかい穴 が空いていたことが明らかになったようです。いわゆる Heartbleed バグ。トホホです。 「ネット上のサービスで OpenSSL を使っている(いた)サイトは、もしかしたらこのバグを知っていた悪い人からサーバー上の情報を盗まれていたかもよ? しかも盗んだ形跡は残らないんだぜ?」 ということになります。 サーバー上の情報というのは、例えば パスワード、メールアドレス 自分で登録した名前とか住所とか もちろん自分で入力したクレジットカード番号とか… などなど。 Mashableによると、有名なサービスでヤバイのは、 Facebook Tumblr Google Y
openssl-1.0.0 を httpd-2.2.12(apache)以前バージョン で利用する場合のmake時コンパイルエラー対処法 » not guilty! so what?
参考URL openssl-1.0.0 + mod_ssl-2.8.31 – kaz_29@はてな Apache+OpenSSL-1.0.0でのコンパイル時の問題 – tkr備忘録Wiki さてさて 古い環境で動作するサーバでOpenSSLをアップデートしたい場合、関連パッケージの再コンパイル作業が必要となってくるかと思います。 OpenSSLをアップデートしたい そしてやや古めのapacheをApache killer対策をした上で利用し続けたい もちろんmod_sslは新しいOpenSSL由来のものを利用したい という場合です。 結論から先に書きますと、上述した参考URLリンク先にあるとおり、 OpenSSL側の構造体名が1.0.0から変更されたことが原因でした。 Apacheソースアーカイブにある中で確認したところ、 http-2.2.12を含めてそれ以前のバージョンでOpen
OpenSSL 1.0.1/1.0.2系に脆弱性、秘密鍵漏えいの恐れも
OpenSSL 1.0.1/1.0.2系に脆弱性、秘密鍵漏えいの恐れも:該当する場合はアップデートとサーバー証明書の再発行を 米国時間の2014年4月7日、OpenSSLのバージョン1.0.1/1.0.2系に、秘密鍵などの漏えいにつながる恐れのある深刻な脆弱性が発見された。 オープンソースのSSL/TLS暗号化ライブラリ、「OpenSSL」のバージョン1.0.1/1.0.2系に、秘密鍵などの漏えいにつながる恐れのある深刻な脆弱性(CVE-2014-0160)が発見された。JPCERTコーディネーションセンター(JPCERT/CC)はじめ複数のセキュリティ機関が、手元のOpenSSLのバージョンを確認し、必要に応じてバージョンアップなど適切な対処を取るよう呼び掛けている。 この脆弱性は、OpenSSL 1.0.1から1.0.1fならびに1.0.2-betaから1.0.2-beta1に存在する
OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ
オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に64Kバイトのメモリが露呈されてしまう脆弱性が発覚し、この問題を修正した「OpenSSL 1.0.1g」が4月7日に公開された。 OpenSSLのセキュリティ情報によると、脆弱性はTLS Heartbeat拡張の処理における境界チェックの不備に起因する。悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れがある。 この脆弱性は、OpenSSL 1.0.1fと1.0.2-beta1を含む1.0.1および1.0.2-betaリリースに存在しており、1.0.1gで修正された。直ちにアップグレードできない場合のために、「OPENSSL_NO_HEARTBEATS」のフラグを有効にして再コンパイルする方法も紹介している。 この問題についてOpenSSLを使ったサービスを提供しているセキュリティ企業のC
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News