OpenSSLの脆弱性（CVE-2014-0224）への対応方法（AWSサービス/OSごと） ※随時更新中 « サーバーワークス エンジニアブログ

2014/06/06 32 users OpenSSL Heartbleed サーバーワークス 方法

大阪オフィスの桶谷です。こんにちは。 今週から大阪オフィスにも1人メンバーが増えました。祝ぼっち脱出。 さて、先日のHeartbleedに続いて、またしてもOpenSSLの脆弱性が発見されました。今回はCCS Injectionです。 ということで対応方法をまとめてみました。 ※随時更新中。最終更新 2014/06/6 12:00 CCS Injection脆弱性(CVE-2014-0224)の概... 続きを読む

OpenSSL、新たなパッチが公開--重大な脆弱性がまたも発見される - CNET Japan

2014/06/06 16 users MITM Heartbleed OpenSSL バッチ SSL

OpenSSLプロジェクトは、少なくとも1つの重大な脆弱性を含む、複数の脆弱性に対応するパッチのリリースを発表した。 最も重大な脆弱性は「SSL/TLS MITM」（SSL/TLS中間者（MitM）攻撃：CVE-2014-0224）だ。この脆弱性は、数年前に作り込まれたHeartbleedとは異なり、Heartbleedに対処したバージョンも含む、すべてのOpenSSLバージョンに含まれている。 ... 続きを読む

OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。 - piyolog

2014/06/05 136 users OpenSSL piyolog 欠陥 実装 菊池氏

脆弱性まとめ | 23:28 | lepidum社の菊池氏がOpenSSLの実装に脆弱性があることを発見しました。この脆弱性はChangeCipherSpecメッセージの処理に欠陥があるもので、悪用された場合に暗号通信の情報が漏えいする可能性があると同社公開情報では説明されています。 lepidum社 公開情報当社で発見し報告をしたOpenSSLの脆弱性（CVE-2014-0224 ）が公開されま... 続きを読む

CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 - CCS Injection

2014/06/05 79 users CCS Injection 経緯 OpenSSL 発見 順序

菊池です。CCS Injection脆弱性(CVE-2014-0224)発見の経緯について紹介します。 バグの簡単な解説 OpenSSLがハンドシェーク中に不適切な状態でChangeCipherSpecを受理してしまうのが今回のバグです。 このバグはOpenSSLの最初のリリースから存在していました。 通常のハンドシェークでは、右の図のような順序でメッセージを交換します(RFC5246 The T... 続きを読む

OpenSSL SSL/TLS MITM vulnerability (CVE-2014-0224)

2014/06/05 38 users OpenSSL Security Advisory

OpenSSL Security Advisory [05 Jun 2014] ======================================== SSL/TLS MITM vulnerability (CVE-2014-0224) =========================================== An attacker using a carefully cr... 続きを読む

CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 - 株式会社レピダム

2014/06/05 297 users CCS Injection脆弱性 経緯 株式会社レピダム

菊池です。CCS Injection脆弱性(CVE-2014-0224)発見の経緯について紹介します。 バグの簡単な解説 OpenSSLがハンドシェーク中に不適切な状態でChangeCipherSpecを受理してしまうのが今回のバグです。 このバグはOpenSSLの最初のリリースから存在していました。 通常のハンドシェークでは、右の図のような順序でメッセージを交換します(RFC5246 The T... 続きを読む