Lucky Thirteen attack on TLS CBC | iidaの日記 | スラド
このページによると、TLS 1.1, 1.2などの設計に脆弱性が発覚し、OpenSSLはじめ各種実装のベンダーが開発中の模様 (詳細の論文)。 TLS 1.1, 1.2のほか、D(データグラム)TLS 1.0、1.2の設計、パディング・オラクル攻撃に対抗したSSLv3やTLS 1.0の実装も脆弱という。 TLS、DTLSの暗号法 (ciphersuite) のうち、CBC (暗号ブロック連鎖) モードを使ったブロック暗号が対象。 基本的に、実装ではなく、設計に問題があるため、あらゆる実装が脆弱性を内包するものと推察される。OpenSSLでは全平文の解読が可能で、GnuTLSでは、ブロックの最後の4ビットまでの平文の解読が可能という。NSS、PolarSSL、yaSSL、BouncyCastle、OpenJDKも脆弱だという。ソース・コードの公開されていない製品は、まだ調査されていない。 対
Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定 | OSDN Magazine
Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。 Apache KillerはFull-disclosureというメーリングリストで先週公開された。問題となっているのは「Range header DoS」と呼ばれる脆弱性。リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。バージョン1.3系および2系のすべてがこの脆弱性を持つという。デフォルト設定ではこの攻撃に対し脆弱で、現在この脆弱性を修正するパッチやリリースはない。Apache Killerではこの脆弱性が悪用され、多数のリクエスト
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/webtech/20130207/2.html
phpMyAdminの脆弱性を狙った攻撃被害が発生、ラックが注意喚起 
