SSLに存在する脆弱性「POODLE」、TLSにも影響 |
2014年10月に確認された「Secure Sockets Layer(SSL)」に存在する脆弱性「Padding Oracle On Downgraded Legacy Encryption(POODLE)」への修正プログラムは徐々に適用され始めています。トレンドマイクロは、12月、「Transport Layer Security(TLS)」の実装に、「POODLE」と同様の脆弱性が存在する可能性を確認しました。この脆弱性を利用した攻撃が行われると、TLS によって安全が確保された接続が、特定の条件で「Man-In-The-Middle(MitM、中間者)攻撃」に脆弱となり、暗号化されたトラフィックが攻撃者によって解読される可能性があります。 ■「POODLE」はどのように TLS に影響を与えるか 最初に確認された脆弱性「POODLE」は、暗号を cipher-block chain
SSLv3脆弱性「POODLE」、TLSにも影響--グーグルの専門家が指摘
Googleに所属するSSL専門家のAdam Langley氏は米国時間12月8日、自身のブログで多くのTLS実装に対して警告を出した。以前明らかになった、SSLバージョン3(SSLv3)に影響する「POODLE(Padding Oracle On Downgraded Legacy Encryption)」攻撃と同じような攻撃につながる脆弱性を含んでいるという。 SSLv3は、CBCモードの暗号でデータのパディングを効果的に特定しない。そのため、ブロック暗号の整合性をきちんと確認できず、「パディングオラクル攻撃」を可能にしてしまう。SSLv3の後、仕様はTLSと改名され、バージョン1になった。TLSv1の変更点の1つとして、パディングオラクル攻撃を防ぐためのパディング処理を改善した。 だが、TLS実装でもパディングバイトのチェックは完全ではないという。多くのTLS実装がSSLv3ソフトウ
ちっともかわいくなかった、セキュリティ界の「POODLE」
ちっともかわいくなかった、セキュリティ界の「POODLE」:セキュリティクラスター まとめのまとめ 2014年10月版(1/3 ページ) 2014年10月は、SSLv3の脆弱性、通称「POODLE」の対応に追われました。各種バグを見つけて報奨金を得るバグ・ハンターにも注目が集まります。 連載目次 2014年10月のセキュリティクラスターは、2014年9月末からの「ShellShock」を引きずっている人が多かったようですが、これを吹き飛ばすかのように、SSLv3の大きな脆弱性「POODLE」が発見され、この対処に追われた人が多く見られました。 そしてまたも、パスワードの定期変更の話題が沸き上がり、今度こそ一応の終結が見えそうな雰囲気でした。その他にも10月11日に開催された「PHPカンファレンス2014」において、セキュリティサイドの徳丸浩さんとPHPサイドの大垣靖男さんの直接バトルや、越
[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2 | MSRC Blog | Microsoft Security Response Center
This blog post is older than a year. The information provided below may be outdated. 本日、セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」でお知らせしている SSL 3.0 プロトコルに存在している脆弱性 (通称 POODLE) について、以下を追加でお知らせしました。 (1) SSL 3.0 を、Internet Explorer にて既定の構成で無効にし、オンラインサービス上で無効にする措置を、数か月の間に実施する予定です。 2014 年 12 月 1 日より、Azure および Office 365 にて、SSL 3.0 を無効化します。これにより、Azure および Office 365 を利用するクライアント端末およびブラウザーは、TLS1.0 以
マイクロソフト セキュリティ アドバイザリ 3009008
SSL 3.0 の脆弱性により、情報漏えいが起こる 公開日: 2014 年 10 月 14 日 |更新日: 2015 年 4 月 14 日 バージョン: 3.0 一般情報 概要 Microsoft は、SSL 3.0 の脆弱性を悪用する新しい方法を説明する詳細な情報が公開されていることを認識しています。 これは SSL 3.0 プロトコル自体に影響を与える業界全体の脆弱性であり、Windows オペレーティング システムに固有のものではありません。 サポートされているすべてのバージョンの Microsoft Windows では、このプロトコルが実装されており、この脆弱性の影響を受ける可能性があります。 現時点では、報告された脆弱性を使用しようとする攻撃は認識されていません。 攻撃シナリオを考慮すると、この脆弱性はお客様にとって高いリスクとは見なされません。 Microsoft Activ
SSL 3.0の脆弱性「POODLE」について知っておくべきこと - ZDNet Japan
2014年はサーバでサポートされる技術のセキュリティ問題がいくつも発覚しているが、その最新のものが、SSL 3.0の深刻な脆弱性「POODLE」だ。POODLE(または「CVE-2014-3556」として表される)は「Padding Oracle On Downgraded Legacy Encryption」の頭字語で、この脆弱性を公表したGoogleの研究者のBodo Möller氏とThai Duong氏、およびKrzysztof Kotowicz氏によって命名された。「POODLE」が発見されたことを受けて、システムオペレーターはサーバ側でSSL 3.0のサポートを停止しており、古くなった同プロトコルだけをサポートするシステムは切り捨てられようとしている。 POODLEはブラウザが暗号化を処理する仕組みに存在する脆弱性だ。攻撃者はSSL 3.0による通信を行うように仕向けることで、
自堕落な技術者の日記 : 様々なサーバーのPOODLE SSLv3脆弱性(CVE-2014-3566)対策のまとめ(更新3) - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 もくじ 1. はじめに 2. SSLv3を無効化できる場合のサーバー対策 2.1. Apache HTTPD Server + mod_ssl 2.2. Apache HTTPD Server + mod_nss 2.3. nginx 2.4. lighttpd 2.5. Microsoft IIS 2.6. (訂正)Apache Tomcat (Java JSSE) 2.7. Node.js 2.8. IBM HTTP Server 2.9. Amazon Web Services 2.10. その他のサーバー 2.11. SSLv3 を無効化するリスク 2.12. OpenLDAP 3. 諸般の事情で SSLv3 を有効にせざるを得ない場
Twitter や Facebook が SSL 3.0 を無効にしたので死にかけた話 - しばやん雑記
今朝、Twitter や Facebook が SSL 3.0 を素早く無効化したため、API を使って処理を行っていたアプリが全滅するという悲惨な出来事が発生しました。 Twitter や Facebook の API を使っている場合、Global.asax.cs とかの初期化コードに以下のような設定を書いていると、接続を確立出来ないので死にます。 ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3; 実際に twitter.com へアクセスするコードを書くと、見事に例外が投げられます。 SSL 3.0 は無効化されているので、チャネルを作れないのは当たり前と言えば当たり前です。 ちなみに SecurityProtocolType.Ssl3 以外を指定している場合には成功します。 当然ながら、何も指定してい
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。 同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。 SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。 この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。 Googleはシステム管理者はWebサイトの
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DeNA Engineering - DeNAエンジニアのポータルサイト
https://dev.classmethod.jp/articles/cve-2014-3566-poodle-issue/