OpenSSLにオランダ政府が6400万円を寄付、「バックドア反対」を公式表明 - GIGAZINE

2016/01/06 53 users OpenSSL GIGAZINE Twitter 人員 寄付

By Christiaan Colen AmazonからTwitterに至るまでインターネット上の約66％が使用するオープンソースの暗号化通信ソフトウェアである OpenSSL は、「Heartbleed」と呼ばれる脆弱性の発見により、 わずか4人のプログラマーによって維持されていた ことがわかっています。「インターネットセキュリティ開発の資金や人員などのリソース不足」という問題が存在している中、... 続きを読む

SSL/TLS 20年の歩みと動向～ - JPNIC

2015/11/04 113 users POODLE JPNIC TLS プロトコル 動向

昨年2014年は、SSL（Secure Sockets Layer）とTLS（Transport Layer Security）というプロトコルがリリースされてから20年が経過し、HeartBleedやPOODLEなどの脆弱性でも話題となった年でもありました。今回の10分講座では、SSL/TLS暗号通信プロトコルの動向を紹介します。 SSL/TLSとは SSL/TLSは最も普及している暗号通信プロ... 続きを読む

Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を | トレンドマイクロ セキュリティブログ

2015/01/28 262 users Ghost トレンドマイクロ Linux Qualys 脆弱性

Linux GNU Cライブラリ（glibc）に存在する脆弱性がセキュリティ企業「Qualys」によって確認されました。この脆弱性「CVE-2015-0235」が利用されると、Linuxのオペレーティングシステム（OS）を搭載する PC上で任意のコードを実行することが可能になり、結果的にサーバーの乗っ取りや不正プログラムを感染させることができます。「Heartbleed」や「Shellshock」... 続きを読む

OSSEC ではじめるセキュリティログ監視 - クックパッド開発者ブログ

2014/12/31 228 users ShellShock POODLE kani_b 脆弱性 各地

2014-12-31 OSSEC ではじめるセキュリティログ監視 インフラストラクチャー部の星 (@kani_b) です。 Heartbleed, ShellShock, XSA-108 (a.k.a. EC2 インスタンス再起動祭), POODLE など、今年は話題となるような脆弱性が各地を襲う一年でした。 脆弱性への対応に加え、いわゆるセキュリティ対策に日頃頭を悩ませている方も多いのではないか... 続きを読む

Google、TLS/SSLトラフィックのセキュリティテストツールを公開 - ITmedia エンタープライズ

2014/11/05 69 users TLS オープンソー POODLE 既知 発覚

オープンソースで公開された「nogotofail」ではTLS/SSL実装に関する既知の脆弱性や設定ミスをチェックできる。 「Heartbleed」や「POODLE」といったTLS/SSL絡みの深刻な脆弱性の発覚が相次ぐ中、米Googleは11月4日、TLS/SSL実装に関する既知の脆弱性や設定ミスをチェックできるネットワークトラフィックセキュリティテストツール「nogotofail」をオープンソー... 続きを読む

bashシェルの修正パッチは不完全、脆弱性突く攻撃の報告も - ITmedia エンタープライズ

2014/09/25 52 users bashシェル OpenSSL bash 修正パッチ 脆弱性

9月24日に公開されたbashのパッチは不完全だったことが分かった。既に脆弱性を突く攻撃が出回っているとの報告もある。 LinuxやMac OS XなどのUNIX系OSで標準的なシェルとして使われている「bash」に重大な脆弱性が見つかった問題で、9月24日に公開されたパッチは不完全だったことが分かった。攻撃の発生も確認され、影響の大きさは4月に発覚したOpenSSLの脆弱性（Heartbleed... 続きを読む

患者450万人の個人情報流出、発端はOpenSSLの脆弱性だった - ITmedia エンタープライズ

2014/08/20 67 users OpenSSL 発端 ITmedia エンタープライズ 攻撃

米病院チェーンから患者450万人の個人情報が流出した事件は、4月に発覚したOpenSSLの重大な脆弱性を突く攻撃でネットワークに侵入されていたことが分かった。 米病院チェーンのCommunity Health Systems（CHS）社から患者約450万人の個人情報が流出した問題で、米セキュリティ企業TrustedSecは8月19日、4月に発覚した「Heartbleed」と呼ばれるOpenSSLの... 続きを読む

「Google Chrome」が「OpenSSL」の使用を中止--「BoringSSL」に切り替え - CNET Japan

2014/07/25 105 users OpenSSL BoringSSL セキュリティプロトコル

「Google Chrome」の（開発者向け）最新バージョンで、セキュリティプロトコルを実装するソフトウェア「OpenSSL」の使用が中止され、OpenSSLからフォークした独自の「BoringSSL」へと切り替えられた。切り替えに関する詳細な情報は、Chromium Code Reviewsで確認できる。 OpenSSLについては、いわゆる「Heartbleed」脆弱性が4月に発覚し、大きな話題... 続きを読む

「Google Chrome」が「OpenSSL」の使用を中止--「BoringSSL」に切り替え - ZDNet Japan

2014/07/25 66 users OpenSSL BoringSSL セキュリティプロトコル

「Google Chrome」の（開発者向け）最新バージョンで、セキュリティプロトコルを実装するソフトウェア「OpenSSL」の使用が中止され、OpenSSLからフォークした独自の「BoringSSL」へと切り替えられた。切り替えに関する詳細な情報は、Chromium Code Reviewsで確認できる。 OpenSSLについては、いわゆる「Heartbleed」脆弱性が4月に発覚し、大きな話題... 続きを読む

リバースHeartbleed(Reverse Heartbleed)を検証してみた。 - 生存報告

2014/05/26 62 users OpenSSL CVE-2014-0160 生存報告 サーバ

2014-04-27 リバースHeartbleed(Reverse Heartbleed)を検証してみた。 セキュリティ セキュリティ界隈でOpenSSLのHeartbleed(CVE-2014-0160)が話題になっている。 サーバからの情報漏洩がクローズアップされており、対策が進んでいるようだけど、一方でクライアントを攻撃できる「リバースHeartbleed」脆弱性がある。 Android 4... 続きを読む

OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も - CNET Japan

2014/05/07 397 users Facebook OpenID OAuth OpenSSL

OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Tec... 続きを読む

Heardbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ : ギズモード・ジャパン

2014/04/24 141 users OpenBSD OpenSSL LibreSSL 虱潰し ヘマ

Webサービス , ニュース Heardbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ 2014.04.24 18:00 サイトがじわじわ来ますね…。 OpenSSLのヘマでHeartbleedなんてバグができてしまい、コードを虱潰しに当たっていたテオ・デ・ラート氏率いるOpenBSDプロジェクトが「こりゃ修復不能だ」と判断、フォーク版「LibreSSL」の開発... 続きを読む

オープンソースは報われない仕事。でもやるんだよ。 - 猫とC#について書くmatarilloの雑記

2014/04/18 274 users matarillo general OSS パク 雑記

General | Microsoftの中の人で、OSSとWeb技術を推進するScott Hanselmanが書いたブログ記事 "Open Source is a thankless job. We do it anyway." を勝手に翻訳。オープンソースは報われない仕事。でもやるんだよ。オープンソースは難しい。セキュリティは難しいOpenSSLの最近の "Heartbleed" バグに関する記... 続きを読む

スマホにも“Heartbleed”脆弱性、検査アプリをTrend Microが公開 -INTERNET Watch

2014/04/18 53 users OpenSSL TLSライブラリ Trend Micro

ニュース スマホにも“Heartbleed”脆弱性、検査アプリをTrend Microが公開 （2014/4/18 14:26） オープンソースのSSL/TLSライブラリ「OpenSSL」に見つかった脆弱性“Heartbleed”の有無をチェックするAndroidアプリ「Heartbleed Detector」をTrend Microが公開した。インストールされているAndroid OSや各アプリ... 続きを読む

OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる | スラッシュドット・ジャパン オープンソース

2014/04/17 206 users OpenBSD libssl tamo slashdot 罵倒

tamo 曰く、 OpenBSDがOpenSSLの大掃除に着手しています（slashdot）。 たとえばlibssl/src/sslを見ると、CVSに罵倒と修正がひっきりなしに記録されています。 Heatbleed対策のパッチだけで満足しなかった理由は、彼らから見てHeartbleedが単なるバグや仕様の問題ではなく、セキュリティ意識の問題から産まれたものだからです。 何年も前から 「OpenSS... 続きを読む

OpenBSD から見て Heartbleed は氷山の一角に過ぎない | スラッシュドット・ジャパン Submission

2014/04/17 206 users OpenBSD libssl tamo Submission

tamo 曰く、 既にコメントしましたが、 OpenBSD が OpenSSL を大掃除しています (本家記事)。 libssl/src/ssl だけを見ても、CVS に罵倒と修正がひっきりなしに記録されています。 Heatbleed 対策のパッチだけで満足しなかった理由は、彼らから見て Heartbleed が単なるバグでも単なる仕様の問題でもなく、セキュリティ意識の問題だからです。 何年も前か... 続きを読む

OpenBSD から見て Heartbleed は氷山の一角に過ぎない | スラッシュドット・ジャパン Submission

2014/04/16 206 users OpenBSD libssl tamo Submission

tamo 曰く、 既にコメントしましたが、 OpenBSD が OpenSSL を大掃除しています (本家記事)。 libssl/src/ssl だけを見ても、CVS に罵倒と修正がひっきりなしに記録されています。 Heatbleed 対策のパッチだけで満足しなかった理由は、彼らから見て Heartbleed が単なるバグでも単なる仕様の問題でもなく、セキュリティ意識の問題だからです。 何年も前か... 続きを読む

“Heartbleed”で秘密鍵を盗むのは難易度高、攻撃活動も現状では少数 -INTERNET Watch

2014/04/16 70 users OpenSSL TLSライブラリ 少数 パク サーバー

ニュース “Heartbleed”で秘密鍵を盗むのは難易度高、攻撃活動も現状では少数 （2014/4/16 19:28） オープンソースのSSL/TLSライブラリ「OpenSSL」で発覚した重大なバグ“Heartbleed”について、株式会社シマンテックが16日に開催した記者説明会の中で言及した。サーバーの秘密鍵を窃取することは論理的には可能だが、実際に窃取するのは難易度が高いという。また、大手サ... 続きを読む

OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません(山本 一郎) - 個人 - Yahoo!ニュース

2014/04/15 334 users OpenSSL エクスプロイト 激震 TLS実装 一郎

山本一郎です。尿酸値がやばすぎます。 ところで、広く世界中で利用されるオープンソースのSSL/TLS実装「OpenSSL」に脆弱性が発見されネット界に激震が走りました。 OpenSSLの「Heartbleed」脆弱性、一般ユーザーの自衛は困難　対応は長期戦か（ITmedia 2014/4/10） 「OpenSSL」に秘密鍵漏洩する脆弱性「Heartbleed」が存在 - エクスプロイトも流通（Se... 続きを読む

OpenSSL マジヤバいっす！ ～ Heartbleed 脆弱性を試してみたよ - モラトリアムこじらせた

2014/04/15 171 users OpenSSL モラトリアム トホホ 大部分 脆弱性

2014-04-10 OpenSSL マジヤバいっす！ ～ Heartbleed 脆弱性を試してみたよ Python Security ネット上の通信の大部分において「安全」を担保していた OpenSSL なのですが... でっかい穴 が空いていたことが明らかになったようです。いわゆる Heartbleed バグ。トホホです。 「ネット上のサービスで OpenSSL を使っている(いた)サイトは、... 続きを読む

“Heartbleed”問題への対策が施された「WinSCP」v5.5.3が公開 - 窓の杜

2014/04/15 59 users WinSCP SCPクライアントソフト sftp FTP 通信

ニュース “Heartbleed”問題への対策が施された「WinSCP」v5.5.3が公開 通信をSSLで暗号化しているにもかかわらず、その内容が漏洩してしまう深刻な脆弱性 （2014/4/15 12:50） 「WinSCP」v5.5.3 オープンソースのFTP/SFTP/SCPクライアントソフト「WinSCP」の最新版v5.5.3が、14日に公開された。本バージョンでは、「OpenSSL」ライブ... 続きを読む

巷を賑わすHeartbleedの脆弱性とは？！ — Mobage Developers Blog

2014/04/15 417 users OpenSSL CVE-2014-0160 脆弱性 背景

こんにちは。セキュリティ技術グループのはるぷと申します。OpenSSLの脆弱性(CVE-2014-0160, JVNU#94401838)が2014年4月7日に公開され、OpenSSLが普及していることや、比較的早く実証コードが流通してしまった背景もあり、巷を賑わせました。今回は、このOpenSSLの脆弱性をより深く解説したいと思います。 1. OpenSSLの脆弱性(CVE-2014-0160)... 続きを読む

WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まっている

2014/04/13 1044 users Wireshark 落ち穂 ろば電子 OpenSSL 中身

OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。というわけで今回のテーマとして、手元にサーバの秘密鍵と、S... 続きを読む

heartbleedをiptablesで止めることについて - yasulib memo

2014/04/13 142 users iptables yasulib memo

前書きOpenSSLの脆弱性（CVE-2014-0160）が公開されました。詳細はpiyokangoさんの素晴らしいまとめを参照してください。OpenSSLの脆弱性（CVE-2014-0160）関連の情報をまとめてみた - piyologエフセキュアブログにて、トーマツの岩井さんが書いた興味深い記事がありました。エフセキュアブログ : Openssl Heartbleed 攻撃の検知について ＃根... 続きを読む

ウェブを襲った最悪のセキュリティ災害「Heartbleed」から自分の身を守る方法 | ReadWrite Japan

2014/04/12 268 users 送受信 ReadWrite Japan パク セキュリティ

ウェブを襲った最悪のセキュリティ災害「Heartbleed」から自分の身を守る方法 Heartbleed バグはウェブ・セキュリティを台無しにした。自分の身を守るためにはちょっとした努力が必要だが、その価値は十分にある。 インターネット上での買い物や財産管理、電子メールの送受信などにおけるプライバシーを守ってくれるはずのセキュリティ・ソフトに関する重大なバグ、「Heartbleed」が最近発見され... 続きを読む