OpenSSLのHeartbleed脆弱性が残るWebサイト検索ツールが登場 - McAfee調査
マカフィーは9月5日、2014年第2四半期の脅威レポートを発表した。同レポートでは、フィッシング詐欺が今もなお企業のネットワークへの侵入に有効な手口であることを明らかにしている。 マカフィーでは、ビジネスユーザーがオンライン詐欺を見抜けるかどうかをテストする「McAfee Phishing Quiz」を実施。回答者の80%が、少なくとも7件中1件のフィッシング詐欺メールを見抜けなかったという。また、テストの結果からは、最も機密性の高い企業データを保有している財務部門と人事部門で詐欺を見抜ける確率が最も低く、ほかの部門と比較して4~9%下回っていることが分かった。 第1四半期の脅威レポート以降、McAfee Labsでは、新たなフィッシング詐欺のURLを25万件以上収集しており、この1年で新たに収集されたフィッシング詐欺のWebサイトの総数は100万件近くに達している。また、総数の増加に加え
Heartbleed bug によるサーバ設定の状況変化 – IIJ Security Diary
本稿では日本時間2014年4月8日未明に公開された HeartBleed bug について取り上げます。 本脆弱性は OpenSSL 1.0.1 から 1.0.1f および 1.0.2beta1 において Heartbeat メッセージの処理において境界チェックの問題があり、OpenSSL が動作しているマシンのメモリ情報を取得可能な状態にあったことが公表されました[1]OpenSSL Security Advisory [07 Apr 2014] TLS heartbeat read overrun (CVE-2014-0160) https://www.openssl.org/news/secadv_20140407.txt。 RFC6520 で策定されている Heartbeat プロトコルは、リクエスト-レスポンス型の 2-way で完結する簡易なプロトコルで、SSL/TLS の R
Heartbleed bug による秘密鍵漏洩の現実性について – IIJ Security Diary
本稿では HeartBleed bug による秘密鍵漏洩の可能性を考察します。 OpenSSL で利用される RSA 秘密鍵のフォーマットは PKCS#1[1]Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1 http://tools.ietf.org/html/rfc3447#section-3.2 で定められています。暗号化された暗号文の復号、もしくはデジタル署名を行う際に RSA の秘密鍵による操作が行われます。SSL/TLS サーバに https でアクセスした場合には、その両方の用途で秘密鍵が用いられます。そのため HSM などの仕組みが無い場合には秘密鍵がメモリ上に展開されている可能性が高いと言えます。実際 Cloudflare Challenge[2
ハートブリード、原因は開発者のミス―「OpenSSL」は少数のボランティアに依存
This copy is for your personal, non-commercial use only. Distribution and use of this material are governed by our Subscriber Agreement and by copyright law. For non-personal use or to order multiple copies, please contact Dow Jones Reprints at 1-800-843-0008 or visit www.djreprints.com. http://jp.wsj.com/article/SB10001424052702303433504579501080000871574.html
Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について
■Heartbleedのリスクと善後策 Heartbleedは、攻撃者が一定の条件を満たすOpenSSLが動作しているサーバの、任意位置のメモリを外部から読み出すことができてしまうという脆弱性です。具体的には、以下のようなリスクが想定されています。 秘密鍵の漏洩による、偽サイトの出現(あるいは中間者攻撃) 秘密鍵の漏洩により、(過去のものを含む)パケットキャプチャの解読 サーバの同一プロセスが行った処理に関連する(他のユーザーのパスワードやセッションキーを含む)データの漏洩 漏洩した秘密鍵を用いた攻撃には、ユーザーを偽サイトへ誘導できたり、パケットの経由点を管理しているなどの、経路上の要件が必要になります。他のユーザーのデータの漏洩については、経路上の要件は不要な一方、攻撃の実施に近いタイミングでサーバにアクセスしたユーザーのデータしか漏れない、という違いがあります。 どこまで対策を施すべ
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家:チェック方法まとめ オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大。専門家は「最悪のケース、つまり秘密鍵の漏えいを想定して対処すべき」と述べている。 オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大している。OSやクラウドサービス、ネットワーク機器の中には、脆弱性のあるOpenSSLを利用しているものが多数あり、ベンダー各社が確認・対応を進めている。国内でもこの脆弱性の影響を受けるサイトが確認されており、中には一時的にサービスを停止し、対処を優先したサービスもある。 この脆弱性は、OpenSSL バージョン1.0.1/1.0.2系に存在する。Heartbeat拡張の実装に見つか
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[特別寄稿] OpenSSLの脆弱性「HeartBleed」振り返りのススメ | ScanNetSecurity![[特別寄稿] OpenSSLの脆弱性「HeartBleed」振り返りのススメ | ScanNetSecurity](https://cdn-ak-scissors.b.st-hatena.com/image/square/d344143ef3d8eeff30d01591c2ffb50f61bb64f6/height=288;version=1;width=512/https%3A%2F%2Fscan.netsecurity.ne.jp%2Fimgs%2Fogp_f%2F20083.jpg)
OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません(山本一郎) - 個人 - Yahoo!ニュース
DeNA Engineering - DeNAエンジニアのポータルサイト
Gmail、YouTubeにも影響。壊滅的なOpenSSLの脆弱性、「Heartbleed」問題とは