GoogleがOpenSSLをフォークした「BoringSSL」を公開 | スラド セキュリティ
GoogleがOpenSSLをフォークし、「BoringSSL」として公開した(ImperialVioletブログの記事、 Ars Technicaの記事、 本家/.)。 Googleは何年もの間、OpenSSLに数多くのパッチを当てて使用していたという。一部のパッチはOpenSSLのメインリポジトリに取り込まれたが、大半はAPIやABIの安定性の問題があるなどの理由で取り込まれていなかった。AndroidやChromeなどの製品はパッチの一部を必要とするが、パッチは70以上もあるために作業が複雑になっていたそうだ。そのため、OpenSSLをフォークして、OpenSSL側の変更をインポートする方式に変更したとしている。BoringSSLは近いうちにChromiumのリポジトリに追加される予定で、いずれAndroidや内部的にも使われるようになる。ただし、BoringSSLではAPIやABI
OpenSSL:新たな欠陥、事前調整で対応 早期警戒パートナーシップ | 毎日新聞
5日に発覚した暗号化ソフト「OpenSSL」の欠陥に関する対応は、今年4月の「Heartbleed(心臓内出血)」とは異なり、公表前に開発者や国内関連企業に欠陥の内容を知らせて水面下で対応を準備する「事前調整」の仕組みが働いた。 この仕組みは、国内のネットセキュリティー対策を推進する独立行政法人情報処理推進機構(IPA)やJPCERTコーディネーションセンターが進めている「早期警戒パートナーシップ」と呼ばれるものだ。欠陥を見つけた人物が前触れもなく発表し、修正版などの対応が整…
OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。 - piyolog
lepidum社の菊池氏がOpenSSLの実装に脆弱性があることを発見しました。この脆弱性はChangeCipherSpecメッセージの処理に欠陥があるもので、悪用された場合に暗号通信の情報が漏えいする可能性があると同社公開情報では説明されています。 尚、6月6日にレピダム社がクライアントの偽装を行う攻撃が行われる恐れについて危険がないことが確認されたとして訂正を行いました。それに伴い以下の内容も修正を加えています。(修正前の記事は魚拓を参照してください。) lepidum社 公開情報 当社で発見し報告をしたOpenSSLの脆弱性(CVE-2014-0224 )が公開されました。早急な更新が望まれる内容だと考えています。 #ccsinjection #OpenSSL 概要はこちらのページをご参照下さい。http://t.co/bhY7GpLZ2j— lepidum (@lepidum) 2
OpenSSL #ccsinjection Vulnerability
[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability 概要 OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。 対策 各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 (随時更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI 原因 OpenSSLのChangeCipherSpecメッセージの処理に発見
OpenSSLにはこんなに問題が! LibreSSL開発者が発表 - BSDCan2014
The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. OpenBSDプロジェクトの開発者でありLibreSSLの開発に携わっているBob Beck氏は5月17日(カナダ時間)、「BSDCan2014: LibreSSL」においてLibreSSLの開発がはじまってからのおおよそ30日間のできごとを伝えた。なぜOpenSSLからLibreSSLを派生させ別プロジェクトとして取り組むことにしたのか、具体的にどういった変更を実施したのかなどが説明された。プロジェクトを立ち上げるきっかけはHeartbleed脆弱性が決め手だったのではなく、そのあとに取り組んだ作業によって別プロジェクトにするという判断が決定的なものになったと説明があった。懸念された点は特に次のとおり。
OpenSSL後継の「LibreSSL」、OpenBSD以外への移植も前提に開発中
The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. 5月9日(協定世界時)、OpenBSD Journalに掲載された記事「LibreSSL Will be Portable」が、OpenBSDプロジェクトが開発を進めているTLS/SSL実装「LibreSSL」をOpenBSDのみならずほかのオペレーティングシステムへの移植が簡単になるように作業を進めていることを伝えた。例として取り上げられているのはOpenSSLのソースコードで発見された問題を解決するために追加されたreallocarray(3)を個別のファイルとして追加していることで、こうすることで移植時の作業を減らすことができるとされている。 OpenBSDプロジェクトはOpenSSHなどの開発も手が
重要なオープンソースプロジェクトへの支援で大手IT企業が協力
オープンソースのセキュリティ問題として、ほぼ間違いなく過去最大であろう「OpenSSL」にセキュリティホール「Heartbleed」が見つかったことで、多くの大手テクノロジ企業は、自社がどれほどオープンソースに頼っているか気づかされるとともに、OpenSSLのような重要プロジェクトには適切な資金提供が必要だということも認識させられた。 そこでThe Linux Foundationは、Amazon Web Services(AWS)、Cisco Systems、Dell、Facebook、富士通、Google、IBM、Intel、Microsoft、NetApp、Rackspace、VMwareなどとともに、世界規模の技術の基幹となる要素に資金を投じて支援する新たなプロジェクト「Core Infrastructure Initiative」(CII)を設立した。 CIIの目的は、テクノロジ
暗号化ソフト狙った攻撃で情報流出か NHKニュース
インターネットで広く利用されている暗号化ソフトに重大な欠陥が見つかった問題で、大手カード会社「三菱UFJニコス」のホームページがこの欠陥を狙った不正アクセスを受け、のべ894人分の個人情報が外部に流出した可能性のあることが分かりました。 ソフトの欠陥が確認されてから国内で被害が明らかになるのは今回が初めてです。 三菱UFJニコスによりますと、今月9日から11日にかけて、ホームページに不正な通信が繰り返されたため調べたところ、「OpenSSL」と呼ばれる無料の暗号化ソフトの欠陥を狙った不正アクセスが確認されたということです。 この不正アクセスで、クレジットカードを所有する会員のべ894人分のカード番号の一部や、氏名、住所それに電話番号などが不正に閲覧され、外部に流出した可能性があるということです。 これまでのところカードが不正に使われたケースは確認されていないということですが、三菱UFJニコ
OpenSSLの脆弱性で初の被害、カナダや英国で発覚
カナダ歳入庁や英MumsnetはOpenSSLの脆弱性が発覚した直後に対応に乗り出したが、既に納税者情報やパスワードなどの情報が流出していた。 オープンソースのSSL/TLS実装「OpenSSL」に極めて重大な脆弱性が発覚した問題で、カナダ歳入庁は4月14日、何者かがこの脆弱性を悪用して、納税者約900人の社会保障番号を同庁のシステムから削除していたことが分かったと発表した。 また、育児情報サイトの英Mumsnetもこの問題を悪用され、ユーザーのアカウントに不正アクセスされていたことが分かったと発表した。OpenSSLの脆弱性は極めて広範に影響が及んでいるが、実際の被害が伝えられたのは初めて。 カナダ歳入庁の場合、4月8日に問題が発覚した時点でオンラインサービスを停止し、OpenSSLの脆弱性を修正。全システムの安全性を点検した上で13日にサービスを再開したが、この過程で納税者情報に対する
OpenSSLの「Heartbleed」脆弱性に便乗攻撃、陰謀説や政府機関利用説も
パスワードの変更を促すリンク付きの詐欺メールが出回るなど、騒ぎに便乗する動きが浮上。各国の政府機関が利用していたのではないかといった憶測も飛び交っている。 オープンソースのSSL/TLS実装「OpenSSL」の脆弱性発覚で秘密鍵やパスワードなどの情報流出が危惧される中、パスワード変更の呼び掛けを装った詐欺メールや偽の脆弱性チェックサイトなど、騒ぎに便乗した攻撃の危険性も浮上している。 米SANS Internet Storm Centerは4月10日、正規の業者を装って、エンドユーザーにパスワードの変更を促すリンク付きの詐欺メールが出回っていると伝えた。こうしたメールのリンクを不用意にクリックすると、マルウェアに感染したり、だまされて入力したパスワードなどの情報を盗まれたりする恐れがある。 厄介なことに、正規の業者もこの問題に関して注意を促すメールを送信している。SANSの研究者は、自身に
通販・銀行に影響 暗号化ソフトに重大欠陥 NHKニュース
インターネットの通信販売や銀行のサイトなどで、機密情報をやり取りするのに広く利用されている暗号化ソフトに重大な欠陥があったことが分かりました。 欠陥を放置すると、クレジットカードなどの情報が流出するおそれがあり、セキュリティー機関が、このソフトを利用しているサイトに早急な対策を呼びかけています。 欠陥が見つかったのは、「OpenSSL」と呼ばれる無料の暗号化ソフトで、通販サイトやネットバンキングなどさまざまなサービスで、機密情報をやり取りするのに広く利用されています。 このソフトについて、おととしから提供されてきたバージョンに、やり取りした情報を外部から閲覧できる重大な欠陥があったことが、今月7日に明らかになりました。 この欠陥を悪用されると、クレジットカードや、プライバシーに関わる情報のほか、サービスを利用するためのパスワードなどが、外部に流出するおそれがあります。 この欠陥によって情報
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家:チェック方法まとめ オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大。専門家は「最悪のケース、つまり秘密鍵の漏えいを想定して対処すべき」と述べている。 オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大している。OSやクラウドサービス、ネットワーク機器の中には、脆弱性のあるOpenSSLを利用しているものが多数あり、ベンダー各社が確認・対応を進めている。国内でもこの脆弱性の影響を受けるサイトが確認されており、中には一時的にサービスを停止し、対処を優先したサービスもある。 この脆弱性は、OpenSSL バージョン1.0.1/1.0.2系に存在する。Heartbeat拡張の実装に見つか
OpenSSL の脆弱性に関する注意喚起
各位 JPCERT-AT-2014-0013 JPCERT/CC 2014-04-08(新規) 2014-04-11(更新) <<< JPCERT/CC Alert 2014-04-08 >>> OpenSSL の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140013.html I. 概要 OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの 脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付す ることでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得 する可能性があります。 管理するシステムにおいて該当するバージョンの OpenSSL を使用している場合 は、OpenSSL Project が提供する修正済みバージョンへアップデートすること をお勧めしま
Heartbleed Bug
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private network
JPCERT/CC WEEKLY REPORT 2012-04-25 : JPCERT コーディネーションセンター Weekly Report
<<< JPCERT/CC WEEKLY REPORT 2012-04-25 >>> ■04/15(日)〜04/21(土) のセキュリティ関連情報 目 次 【1】2012年4月 Oracle Critical Patch Update について 【2】OpenSSL の DER データ処理に脆弱性 【3】Bugzilla にクロスサイトリクエストフォージェリの脆弱性 【4】TwitRocker2 (Android 版) における WebView クラスに関する脆弱性 【今週のひとくちメモ】スマートフォンのアプリに注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr
JVNDB-2012-002099 - JVN iPedia - 脆弱性対策情報データベース
CVSS v2 による深刻度 基本値: 7.5 (危険) [NVD値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃前の認証要否: 不要 機密性への影響(C): 部分的 完全性への影響(I): 部分的 可用性への影響(A): 部分的 OpenSSL Project OpenSSL 0.9.8v 未満 OpenSSL 1.0.0i 未満の 1.0.0 OpenSSL 1.0.1a 未満の 1.0.1 VMware VMware ESX 3.5 VMware ESX 4.0 VMware ESX 4.1 VMware ESXi アップル Apple Mac OS X 10.6.8 Apple Mac OS X v10.7 から v10.7.5 Apple Mac OS X v10.8 から v10.8.3 Apple Mac OS X Server 10.6.8 Apple Mac
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティ診断・検査のGMOサイバーセキュリティ byイエラエ
OpenSSL:三菱UFJニコス894人個人情報流出か - 毎日新聞
OpenSSL Security Advisory [07 Apr 2014]
https://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/
