[prev in list] [next in list] [prev in thread] [next in thread] List: openssl-announce Subject: [openssl-announce] Forthcoming OpenSSL releases From: OpenSSL <openssl () openssl ! org> Date: 2016-04-28 13:20:13 Message-ID: alpine.LFD.2.20.1604281419530.24508 () localhost ! localdomain [Download RAW message or body] -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Forthcoming OpenSSL releases ======
機能毎にプロセスを分割し、それらを別個の権限のもとで実行することで、脆弱性があった場合の影響を抑え込むというのは、一定以上の規模をもつプログラムでは、しばしば見られるデザインパターンです。 qmailは、そのような設計がなされたメール配送デーモンとして名高いですし、OpenSSHもまた、認証プロセスと通信プロセスを分離することで、外部との通信を担当するコードにバグがあったとしても、ルート権限が奪われないように設計されています(参照: Privilege Separated OpenSSH)。 一方で、OpenSSLにはそのような権限分離は実装されていません。Heartbleedの際にサーバの秘密鍵が漏洩したのも、秘密鍵の取り扱いと、その他の通信の取り扱いを同一のメモリ空間の中で行っていたからだと考えることができます。 ないのなら、自分で作ればいいじゃない…ということで作りました。それが、N
シンジです。続報です。(前回の記事) 新たに正式なアナウンスがありましたので、各種発表の一部から要約してお伝えします。 脆弱性について証明書系の攻撃にて、中間者攻撃を受ける可能性 緊急度高いとされています。 影響度影響度は低いと考えます。 AWSの各種サービスには、事実上影響無しHTTPS/FTPSなどSSL証明書を使用していない場合は影響なしAmazon Linuxはリポジトリを更新済みで適用可能AWSのサービスで対象があるものの、順次対応される為、ユーザー影響は無し対象範囲2015/6/11以降の比較的新しいOpenSSLにしか影響がないUbuntu 15.04 (Vivid Vervet)(訂正します、ご指摘ありがとうございます), Amazon Linux等該当のバージョンは1.0.2c1.0.2b1.0.1n1.0.1o対処方法影響を受けるバージョンの1.0.2系は1.0.2dへ
lepidum社の菊池氏がOpenSSLの実装に脆弱性があることを発見しました。この脆弱性はChangeCipherSpecメッセージの処理に欠陥があるもので、悪用された場合に暗号通信の情報が漏えいする可能性があると同社公開情報では説明されています。 尚、6月6日にレピダム社がクライアントの偽装を行う攻撃が行われる恐れについて危険がないことが確認されたとして訂正を行いました。それに伴い以下の内容も修正を加えています。(修正前の記事は魚拓を参照してください。) lepidum社 公開情報 当社で発見し報告をしたOpenSSLの脆弱性(CVE-2014-0224 )が公開されました。早急な更新が望まれる内容だと考えています。 #ccsinjection #OpenSSL 概要はこちらのページをご参照下さい。http://t.co/bhY7GpLZ2j— lepidum (@lepidum) 2
菊池です。CCS Injection脆弱性(CVE-2014-0224)発見の経緯について紹介します。 バグの簡単な解説 OpenSSLがハンドシェーク中に不適切な状態でChangeCipherSpecを受理してしまうのが今回のバグです。 このバグはOpenSSLの最初のリリースから存在していました。 通常のハンドシェークでは、右の図のような順序でメッセージを交換します(RFC5246 The Transport Layer Security (TLS) Protocol Version 1.2 §7.3より作成)。 ChangeCipherSpecは必ずこの位置で行うことになっています。OpenSSLもChangeCipherSpecをこのタイミングで送信しますが、受信は他のタイミングでも行うようになっていました。これを悪用することで、攻撃者が通信を解読・改ざん可能です。 発見の困難さ
Microsoftの中の人で、OSSとWeb技術を推進するScott Hanselmanが書いたブログ記事 "Open Source is a thankless job. We do it anyway." を勝手に翻訳。 オープンソースは難しい。 セキュリティは難しい OpenSSLの最近の "Heartbleed" バグに関する記事がたくさん出回っている。技術的な分析をすべて読んだら丸一日つぶれてしまうだろうが、 その中にこれはと思う見出しがあった。『OpenSSLはオープンソースの大きな問題を示している。資金不足、人員不足』だ。インターネットを織りなす基本の部分は、ほとんどの場合たった一人によるもので、あとはたくさんのボランティアだ。 〝魅惑的で気が遠くなるような事実とは、ネットワークインフラストラクチャにはこのように重大な部品が存在していて、インターネットの大部分で実際に動いてい
the main OpenOpenSSL pageAbout OpenOpenSSL Project Goals Hardware Platforms Daily Changelog Security Crypto Events Papers Press Commercial Support Getting OpenOpenSSL CDs/T-shirts/Posters Getting Releases Installing OpenOpenSSL Getting Source AnonCVS CVSync Web OpenOpenSSL Resources Manuals FAQ Patches Reporting Mailing Lists Application Packages Books that Help Supporting Open
ウェブサイト上でのショッピングや金融取引における通信は一般に、SSL と呼ばれる方式で暗号化されています。この SSL を実現するソフトウェアの一つである OpenSSL に、情報漏えいの脆弱性が発見されました。https でアクセスできるウェブサイトは、この脆弱性の影響を受け、ウェブサイトから情報が漏えいする可能性があります。 図:脆弱性および、脆弱性から想定可能な影響のイメージ 漏えいした情報が悪用された結果、上図のような影響が生じる可能性があります。連鎖被害を防ぐために、下表のような対策をとることが推奨されます。 直接被害 派生(連鎖)被害 対策 ウェブサイト運営者 ウェブサイト利用者(一般ユーザ) 詳細は次節[ウェブサイト利用者(一般ユーザ)としての対応]参照 サイト秘密鍵の漏えい
インターネットで使われる鍵(カギ) みなさん、こんにちは! こんなニュースが発表され、世界に衝撃を与えています。 ↓ Gmail、YouTubeにも影響。壊滅的なOpenSSLの脆弱性、「Heartbleed」問題とは « WIRED.jp コンピュータ関係者は大騒ぎですが、ボクたち一般人はどうすればいいのでしょうか? コンピュータに詳しくない人に、なるべくわかりやすく書いてみます。 まず、インターネットのいろんなサービスを利用するにはIDとパスワードが必要ですよね。 例えば、Amazonや楽天市場で買物をするには、Amazonや楽天市場のIDとパスワードを入力する必要があります。 どちらかが欠けても買い物はできません。 あなた以外の第三者があなたのIDを知ったとしてもパスワードがわからなければ、あなたの名前で勝手に買い物をすることはできないわけです。 これによって安全が守られているわけで
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
「Heartbleed」問題でGoogleやMozilla、Amazon Web Servicesなどの各社が対応状況を説明。顧客側にもSSL証明書の入れ替えなどの対応を促している。 オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」に極めて深刻な脆弱性が見つかった問題で、影響を受ける企業が緊急対応に乗り出している。この脆弱性を悪用されるとパスワードや秘密鍵などの情報が流出する恐れがあり、攻撃を受けたとしても痕跡は残らない。 Googleは米国時間の9日までに、検索サービスやGmail、YouTube、Wallet、Play、Apps、App Engineなどの主要サービスで問題を修正したと発表した。ChromeとChrome OSは影響を受けないという。 Google Cloud PlatformやGoogle Search Appliance(GSA)については現在対応中
int dtls1_process_heartbeat(SSL *s) { unsigned char *p = &s->s3->rrec.data[0], *pl; unsigned short hbtype; unsigned int payload; unsigned int padding = 16; /* Use minimum padding */ heartbeatという機能の詳しいことは調べられていないけれどどうやらクライアントーサーバ型の機能を提供するものらしい。 つまり何らかのリクエストを受け取ってレスポンスを返すようなサービスを提供するものらしい。dtls1_process_heartbeatで大事なのは ポインタpだ。これはリクエストデータを受け取って格納している。このリクエストデータは構造体になっていて、以下のように記述されている。 typedef struct
こちらでは初めまして、大阪で孤軍奮闘中の桶谷です。<br /> 現在、話題になっているOpenSSLの脆弱性への対応方法をまとめてみました。 ※随時更新中。最終更新 2014/04/11 12:29 OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ http://www.itmedia.co.jp/enterprise/articles/1404/08/news038.htm こちらに今回の脆弱性についての説明動画があります http://vimeo.com/91425662 The Heartbleed Bug http://heartbleed.com/ 対応を行わないとクライアント/サーバ間の通信が悪意のある第三者に覗かれる恐れがあり、痕跡を残さずにトラフィックの内容、ユーザーID/パスワードなどが盗まれてしまう可能性があります。 AWSから公式見解はこちらで
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く