なぜTheo de RaadtはIETFに激怒しているのか
本の虫: OpenBSD、怒りのコミットで、OpenBSDのTheo de RaadtがIETFに対して激怒している。 src/lib/libssl/ssl/Makefile - view - 1.29 SegglemannのRFC520 heatbeatを無効化。 あのまともなプロトコルひとつ制定できないIETFの無能集団が、超重要なプロトコルで64Kの穴をこしらえるとか、マジであきれてものも言えねーわ。奴らはマジこの問題を本気で検証すべきだろ。なんでこんなことをしでかしたのか。こんな事態を承認した責任ある連中を全員、意思決定プロセスから取り除く必要がある。IETF、てめーは信用なんねぇ。 なぜTheo de Raadtは、OpenSSLではなく、IETFに対して激怒しているのか。IETFというのは、インターネット上の規格制定の団体である。今回、世上を騒がせているHeartbeat問題は
OpenBSD、怒りのコミット
OpenSSLのheatbeatバグの対応のため、OpenBSDはOpenSSLのheatbeatを無効にするコミットをした。ただし・・・ src/lib/libssl/ssl/Makefile - view - 1.29 SegglemannのRFC520 heatbeatを無効化。 あのまともなプロトコルひとつ制定できないIETFの無能集団が、超重要なプロトコルで64Kの穴をこしらえるとか、マジであきれてものも言えねーわ。奴らはマジこの問題を本気で検証すべきだろ。なんでこんなことをしでかしたのか。こんな事態を承認した責任ある連中を全員、意思決定プロセスから取り除く必要がある。IETF、てめーは信用なんねぇ。 このコミットは、Makefileの中で、OpenSSLでheatbeatを無効にするマクロを定義するよう、コンパイラーオプションを指定するものだ。ただし、無効にするマクロは、OPE
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
OpenSSL の脆弱性 Heartbleed 関連の情報 - 強火で進め
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 | TechCrunch Japan http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/ [ビデオ]OpenSSLのバグ“Heartbleed”ってどんなの? | TechCrunch Japan http://jp.techcrunch.com/2014/04/09/20140408what-is-heartbleed-the-video/ 対処法も書かれている記事 OpenSSL の脆弱性 (Heartbleed Bug) に関する Q&A | WWW WATCH http://hyper-text.org/archives/2014
OpenSSLはサルによって書かれた
OpenSSLの脆弱性により、OpenSSLを使っているプロセスのどこかの64KBのメモリを何度もガチャ読みし放題というニュースが流れたのは、いまさら言うでもない。この騒動を発端として、OpenSSLのような超重要なソフトウェアが、実は内部的にはいかに悲惨でずさんであるかということを書いた記事が、ネット上に浮上しつつある。 OpenSSL is written by monkeys (2009) | Hacker News Flingpoo! OpenSSLのコードが汚すぎるというお話。 インデントだけでも相当変だ。 "OpenSSL has exploit mitigation countermeasures to make sure it's exploitable" | Hacker News Re: FYA: http: heartbleed.com むかし、OpenSSLのメモリ
ウェブ・セキュリティを脅かす重大なバグ「Heartbleed」について知っておくべきこと | readwrite.jp
「Heartbleed」はウェブ・コミュニケーションを安全にするOpenSSLと呼ばれる暗号化ソフトの中に長く発見されずに潜んでいたバグだ。その発見が遅れたため、ウェブの2/3に及ぶトラフィックが過去2年間に渡って盗聴や攻撃の危険にさらされていたことになる。Heartbleedは一般的なウェブ・ユーザーにとってなじみのある脆弱性でない。そのため、それがなぜそれほど重大なのか、またデータを安全にしておくためには何ができるかについて、ここでなるべく分かりやすく紹介したい。 Heartbleedとは簡単にいうと、ブラウザとウェブサイト間の暗号化通信に関する脆弱性だ。攻撃者は理論的にはこのバグを悪用することで、銀行やEコマース・サイトなどの安全な通信が必要なサイト上で使用されるセキュアな接続を解読し、パスワードなどの重要な情報を盗み取ることができる。 もう少し技術的な説明をするとHeartblee
Heart Bleedを読んだ - The first cry of Atom
int dtls1_process_heartbeat(SSL *s) { unsigned char *p = &s->s3->rrec.data[0], *pl; unsigned short hbtype; unsigned int payload; unsigned int padding = 16; /* Use minimum padding */ heartbeatという機能の詳しいことは調べられていないけれどどうやらクライアントーサーバ型の機能を提供するものらしい。 つまり何らかのリクエストを受け取ってレスポンスを返すようなサービスを提供するものらしい。dtls1_process_heartbeatで大事なのは ポインタpだ。これはリクエストデータを受け取って格納している。このリクエストデータは構造体になっていて、以下のように記述されている。 typedef struct
Apache/SSL自己証明書の作成とmod sslの設定 - maruko2 Note.
Apache/SSL自己証明書の作成とmod sslの設定 提供:maruko2 Note. < Apache 移動: 案内, 検索 目次 1 手順 2 秘密鍵の作成 (server.key) 3 CSR(証明書の基になる情報)の作成 (server.csr) 3.1 入力項目の例 4 証明書(公開鍵)の作成 (server.crt) 5 Apache mod_ssl の設定 6 Apache 起動時にパスフレーズの入力を省略する 6.1 秘密鍵 (server.key) ファイルをあらかじめ復号化しておく方法 6.2 Apache起動時のパスフレーズ入力を自動化する方法 7 参考ページ 8 Apache 関連のページ 手順 2017年1月1日以降、SSL 証明書の署名アルゴリズムとして SHA-1 を使用している証明書は SSL 通信ができなくなる。 これは、Windows製品、Goog
OpenSSL でオレオレ証明書を手っ取り早く作成する方法 - WebOS Goodies
先日、とある理由で SSL の動作テストのためのオレオレ証明書が必要になったので、作り方を調べてみました。基本的にインフラ部分は他人におまかせなことが多いので、これまでやったことなかったんですよね (^^ゞ で、ググったりして調べたのですが、たいてい OpenSSL の設定を書き換えが必要で、少し面倒な手順ばかり。単なる動作テスト用で正式な証明書である必要はないので、環境の書き換えは最小限で済ませたくないところです。何回か試して、環境を変更せずに証明書を生成することができたので、手順をまとめておきます。 デフォルト設定等を確認する 証明書の作成をはじめるまえに、念のため以下の手順が使えるかどうか確認する方法を書いておきます。たいてい大丈夫だと思うんですけどね。少なくとも Mac OS X Lion と Ubuntu 11.04 はデフォルトで以下の設定になっていました。 確認するファイルは
古いOpenSSLは早く更新してほしい、IPAが注意喚起(ITmedia エンタープライズ) - Yahoo!ニュース
情報処理推進機構(IPA)は9月8日、脆弱性が存在する古いバージョンのOpenSSLを使い続けているWebサイトが多数に上るとして、早期の更新を求める注意喚起を行った。一般からの問い合わせも88件寄せられている。 IPAによると、問い合わせによって指摘されたWebサイトの内訳は民間企業が50サイト、地方公共団体が27サイト、政府機関が9サイト、団体が2サイトとなっている。OpenSSLはオープンソースのSSL/TLS実装ツールキットで、これらサイトの多くが2005年10月に見つかったバージョンロールバックの脆弱性を抱えたままだという。 古いバージョンのOpenSSLには、これ以外にもサービス妨害(DoS)につながる脆弱性や、署名が不適切に扱われてしまう脆弱性などが見つかっている。OpenSSLプロジェクトは今年3月25日にリリースしたバージョン0.9.8kでこれらの問題を解消済み。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
