Secunia - Forum Thread: Recent PSI issues
Secunia delivers software security research that provides reliable, curated and actionable vulnerability intelligence. Organizations can expect to receive standardized, validated and enriched vulnerability research on a specific version of a software product. Secunia Research supports four solutions:
JVNVU#536044: OpenSSL における ECDSA 秘密鍵が漏えいしてしまう問題
OpenSSL で ECDSA による認証方式を実装している製品が本脆弱性の影響を受ける可能性があります。 詳しくは US-CERT Vulnerability Note VU#536044 が提供する情報をご確認ください。 OpenSSL を実装した複数の製品には、タイミング攻撃 (timing attack) によって ECDSA の秘密鍵が漏えいする問題が存在します。 "Remote Timing Attacks are Still Practical" には、以下のように記述されています。 "For over two decades, timing attacks have been an active area of research within applied cryptography. These attacks exploit cryptosystem or protoc
OpenSSH 情報 - [Security][OpenSSL] OpenSSLのECDSA実装に脆弱性
OpenSSHで利用しているライブラリOpenSSL に JVNVU#536044: OpenSSL における ECDSA 秘密鍵が漏えいしてしまう問題 が報告されています. OpenSSHのECDSAの実装はOpenSSLのものを利用しているので, OpenSSHでのECDSAの利用でも影響がある可能性が高いです. 現在のところ ECDSA を利用しない以外の対処法はありません. 2011/05/23追記: Security of OpenSSL ECDSA signaturesによると This result concerns binary/GF(2m) fields only and not the prime fields that OpenSSH uses in recent versions. Unless a similar timing oracle is found fo
OpenSSH 情報 - [Security][OpenSSL][Release] OpenSSL 0.9.8q, 1.0.0c リリース
2010/12/03 - [Security][OpenSSL][Release] OpenSSL 0.9.8q, 1.0.0c リリース 2010/12/02, OpenSSHで利用しているライブラリOpenSSL に0.9.8q, 1.0.0c がリリースされました. . SSL/TLS サーバ拡張にあった暗号がダウングレードされる攻撃への対処と(デフォルトでは有効ではない)JPAKE実装の検証での問題が修正されています(OpenSSL Security Advisory [2 December 2010]). OpenSSHを利用している場合に, これらの問題が攻撃に利用されることはありません(2010/12/07追記: OpenSSHのJPAKE実装を有効にしている場合は問題かもしれません. JPAKEはデフォルトでは有効ではありません. OpenSSHのJPAKE実装にも問題が報
OpenSSH 情報 - [Security][OpenSSL][Release] OpenSSL 0.9.8p, 1.0.0b リリース
2010/11/17 - [Security][OpenSSL][Release] OpenSSL 0.9.8p, 1.0.0b リリース 2010/11/16, OpenSSHで利用しているライブラリOpenSSL に0.9.8p, 1.0.0b がリリースされました. . TLS サーバ拡張にあったセキュリティの問題が修正されています(OpenSSL Security Advisory [16 November 2010]). (2010/12/07追記: 1.0.0bでの修正は不具合があり 1.0.0c で修正されたとのことです.) OpenSSHを利用している場合に, これらの問題が攻撃に利用されることはありません.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
About Secunia Research | Flexera
About Secunia Research | Flexera
PostgreSQL, OpenSSL, and the GPL [LWN.net]
About Secunia Research | Flexera
https://www.openssl.org/news/secadv_20110208.txt
https://www.openssl.org/news/secadv_20101116.txt
https://www.openssl.org/news/secadv_20101202.txt
About Secunia Research | Flexera
About Secunia Research | Flexera
An OpenSSL race condition [LWN.net]
About Secunia Research | Flexera
607159 – Continuing libgcrypt threading issue
598737 – CVE-2010-1633 openssl: information leak due to invalid Return value check [fedora-13]
598732 – (CVE-2010-1633) CVE-2010-1633 openssl: information leak due to invalid Return value check
598740 – CVE-2010-0742 openssl: invalid ASN1 module definition for CMS [fedora-all]