OpenSSL-2022/software at main · NCSC-NL/OpenSSL-2022You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件
これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの(具体的にいうと2016年くらいまでの)古いクライアントたちは Let's Encryptさんを信用してくれなくなっちゃう・・・どうしよう」 DST Root CA X3「どれ、わしが死ぬ前に(有効期限が切れる前に)お前が信頼に値する旨を一筆書いて残せばいいじゃろう。サラサラ」 Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3 Validity Not Bef
脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) - IT・システム判例メモ
クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい)
IT産業はタダ働きのエンジニアに依存しすぎている
By Pressmaster 「フリーソフトウェア」「無料アプリ」の中には便利なものがたくさんあります。しかし、有料のソフトウェアの中にも「無料のコード」が多数内在しています。さまざまなプロトコルを用いてデータを転送するライブラリ「libcurl」とファイルを送受信用コマンドラインツール「cURL」を開発し無料で提供しているダニエル・ステンバーグさんが「オープンソースプロジェクトを公開すること」にまつわる自身のエピソードを語っています。 The Internet Relies on People Working for Free - OneZero https://onezero.medium.com/the-internet-relies-on-people-working-for-free-a79104a68bcc iPhoneのような多数のコードによって動いている製品の価格には、その
『OpenSSLクックブック』提供開始のお知らせ
ご来店ありがとうございます。 本日より、『プロフェッショナルSSL/TLS』(2017年3月発行)からスピンオフしたミニブック『OpenSSLクックブック』の提供を開始しました。購入ページからカートに追加していただくことで、どなたでも無償でダウンロードが可能です(クレジットカード情報は不要ですが、直販サイトの購入フローを経由する関係で、お名前の欄と住所の欄への入力はお願いいたします)。 同書は『プロフェッショナルSSL/TLS』の原書である‟Bulletproof SSL and TLS”からOpenSSLに関する章を抜き出して再編された‟OpenSSL Cookbook”の翻訳に相当し、『プロフェッショナルSSL/TLS』の「第11章 OpenSSL」と「第12章 OpenSSLによるテスト」加え、SSL Labsで公開されている ‟SSL/TLS Deployment Best Pra
OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog
2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 注意喚起 OpenSSL の複数の脆弱性に関する注意喚起 - JPCERT/CC SSLv2 DROWN Attack - US-CERT OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advisory [1st March 2016] OpenSSL version 1.0.1s published OpenSSL version 1.0.2g published An OpenSSL User’s Guide to DROWN 2016年3月1日公
2015年11月11日に発生したMacのアプリが壊れ、起動しなくなる「MASpocalypse」問題はAppleがSHA-2証明書を発行したことが原因?
The old MAS certificate used SHA-1 (secure hash algorithm 1) cryptography. Before it expired, Apple issued a new certificate, but one using SHA-2 (secure hash algorithm 2). This was supposed to be transparent, but once the old certificate expired, some people began experiencing problems. [Here’s what’s happening with the Mac App Store and ‘damaged’ apps – iMore] MASpocalypse前後の証明書 iMoreの編集長Rene Ri
OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記
TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに 昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/Nodeに影響があるということが判明したので直ちにiojs/Nodeのアップデートを行い、今朝未明に無事脆弱性対応版をリリースしました。 今回が初めてではありませんが、深夜に日欧米のエンジニアがgithub上で互いに連携しながら速やかにセキュリティ対策のリリース作業を行うことは何回やってもなかなかしびれる経験です。時差もありなかなか体力的には辛いものがありますが、世界の超一流のエンジニアと共同でリア
Logjam, FREAK and upcoming changes in OpenSSL
May 20, 2015 Today, news broke of Logjam, an attack on TLS connections using Diffie-Hellman ciphersuites. To protect OpenSSL-based clients, we’re increasing the minimum accepted DH key size to 768 bits immediately in the next release, and to 1024 bits soon after. We have also made several other changes to strengthen our cryptographic defaults and have updated our tools and documentation to help se
OpenSSL Updates of 19 March 2015 - Red Hat Customer Portal
Log In Your Red Hat account gives you access to your profile, preferences, and services, depending on your status. Register If you are a new customer, register now for access to product evaluations and purchasing capabilities. Need access to an account?If your company has an existing Red Hat account, your organization administrator can grant you access. If you have any questions, please contact c
SANS - Internet Storm Center - Cooperative Cyber Threat Monitor And Alert System
Published: 2015-03-19. Last Updated: 2015-03-19 15:07:27 UTC by Johannes Ullrich (Version: 1) As pre-announced, OpenSSL today released an update fixing 14 security flaws [1]. The good news: The only "high" vulnerability is present in the recently release version 1.0.2, which as far as I know is not yet used in any major operating system. But numerous of the "medium" vulnerabilities do have code ex
HugeDomains.com
Captcha security check knlab.com is for sale Please prove you're not a robot View Price Processing
r/crypto - OpenSSL bug allows RSA 1024 key factorization in 20 minutes
Thankfully it's very easy to tell whether it's real. If anyone can publish the two, non-trivial factors of this number (where neither is 1!) then they'll have my attention: 0xe5c30e1286c41c7137dc06194199dde641120de591c1b7392de35ef6a961d6d29faa3bcdb7603d42768a90322197a7a46fa2cf23f6f10de5554db6e7322ba35e858f576f840347c795c8782c3f4ef9f530d2fd1f6b5c275ce49404958f0decddd0b53386d12c745891d5eeca1f265bdf8
OpenSSLのHeartbleed脆弱性が残るWebサイト検索ツールが登場 - McAfee調査
マカフィーは9月5日、2014年第2四半期の脅威レポートを発表した。同レポートでは、フィッシング詐欺が今もなお企業のネットワークへの侵入に有効な手口であることを明らかにしている。 マカフィーでは、ビジネスユーザーがオンライン詐欺を見抜けるかどうかをテストする「McAfee Phishing Quiz」を実施。回答者の80%が、少なくとも7件中1件のフィッシング詐欺メールを見抜けなかったという。また、テストの結果からは、最も機密性の高い企業データを保有している財務部門と人事部門で詐欺を見抜ける確率が最も低く、ほかの部門と比較して4~9%下回っていることが分かった。 第1四半期の脅威レポート以降、McAfee Labsでは、新たなフィッシング詐欺のURLを25万件以上収集しており、この1年で新たに収集されたフィッシング詐欺のWebサイトの総数は100万件近くに達している。また、総数の増加に加え
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
全HTTPSサイトの33%でSSL/TLSが解読される恐れのある脆弱性「DROWN」、OpenSSLチームは修正パッチを配布 
「WinSCP」の最新版v5.7.1が公開、脆弱性が発見された「OpenSSL」「PuTTY」を更新
2015年3月16日に予告されたOpenSSLの重大な問題に関してまとめてみた( CVE-2015-0291 / CVE-2015-0204 ) – CLARA ONLINE techblog
OpenSSL Security Advisory [19 Mar 2015]
OpenSSLにまた重度の欠陥、修正アップデートは3月19日にリリース
SSL/TLSライブラリ「OpenSSL」の最新版v1.0.1j/v1.0.0o/v0.9.8zcが公開