OpenSSLに複数の重大な脆弱性、ただちに更新を - JPCERT/CC

2023/02/09 90 users JPCERT JPCERTコーディネーションセンター 複数

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月8日、「JVNVU#91213144: OpenSSLに複数の脆弱性」において、OpenSSLに重大なセキュリティ脆弱性が複数存在すると伝えた。これら脆弱性が悪用されると、サービス運用妨害(DoS: Denial of Service)を受けた... 続きを読む

Dell、HP、Lenovoのデバイスファームウェアが古いOpenSSL使用　サプライチェーンリスクが浮き彫りに

2022/11/29 16 users Lenovo Dell 浮き彫り デバイス 古いバージョン

The Hacker NewsはDellとHP、Lenovoのデバイスファームウェアに古いバージョンのOpenSSLが使われていることを指摘した。調査によれば、10年以上前のOpenSSLが使われているデバイスも見つかった。 続きを読む

“脆弱性対策はサボったら負け”　リソース不足の組織がやるべき“基本のき”

2022/11/07 12 users リソース不足 組織 脆弱性対策 基本 セキュリティアップデート

先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。 2022年10月末、多くのシステムで利用されるオープンソースソフトウ... 続きを読む

OpenSSL の脆弱性対策について(CVE-2022-3602、CVE-2022-3786)：IPA 独立行政法人 情報処理推進機構

2022/11/02 13 users バッファオーバーフロー IPA TLS ライブラリ サー

OpenSSL は、SSL および TLS の機能を提供する、オープンソースのライブラリです。 この OpenSSL において、X.509 証明書の検証処理を通じてバッファオーバーフローが発生する脆弱性が確認されています。 本脆弱性が悪用されると、攻撃者が用意した悪意のある証明書によりオーバーフローが引き起こされ、結果としてサー... 続きを読む

【セキュリティ ニュース】「OpenSSL」にセキュリティアップデート - 脆弱性の評価は下方修正（1ページ目 / 全1ページ）：Security NEXT

2022/11/01 19 users Critical セキュリティアップデート クリティカル

OpenSSLの開発チームは、協定世界時11月1日に事前予告どおりセキュリティアップデート「同3.0.7」をリリースし、複数の脆弱性に対処した。当初重要度は「クリティカル（Critical）」を予定していたが、「高（High）」へと下方修正されている。 今回明らかにされた脆弱性は、「X.509証明書」の検証処理を通じてバッファオ... 続きを読む

RHEL9互換の国産Linux OS「MIRACLE LINUX 9」が無償公開。2032年までパッケージアップデートやセキュリティパッチを無償提供

2022/11/01 26 users セキュリティパッチ SELinux RHEL 国産Linux

サイバートラストは、Red Hat Enterprise Linux（RHEL）9 互換の国産Linux OS「MIRACLE LINUX 9」の無償提供を開始しました。 「MIRACLE LINUX 9 」は、RHEL9と同様にLinuxカーネル5.14を採用し、OpenSSLなどの主要なパッケージのバーションアップの他、SELinux の性能改善、セキュアブート対応など、主にセキュリティ関... 続きを読む

OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を

2022/11/01 356 users Critical 脆弱性 修正版 史上2度目 更新

OpenSSLに重大度「CRITICAL(致命的)」の脆弱(ぜいじゃく)性が発見されました。脆弱性への対応は迅速に行われており、日本時間の2022年11月1日22時～2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」が公開予定です。OpenSSLに重大度「致命的」の脆弱性が発見されたのは、2014年に報告されて世界中を騒がせた「Heartblee... 続きを読む

OpenSSL warns of critical security vulnerability with upcoming patch

2022/10/29 16 users PATCH everyone but we and i

OpenSSL warns of critical security vulnerability with upcoming patch We don't have the details yet, but we can safely say that come Nov. 1, everyone -- and I mean everyone -- will need to patch OpenSSL 3.x. Everyone depends on OpenSSL. You may not know it, but OpenSSL is what makes it possible to... 続きを読む

OpenSSLが「緊急」の脆弱性に対処　2022年11月1日に新バージョンをリリース

2022/10/29 16 users Critical OpenSSLプロジェクト 脆弱性 対処

OpenSSLプロジェクトによれば、今回のアップデートは「緊急」（CRITICAL）の脆弱（ぜいじゃく）性に対処するためのものだ。リリースに備えてユーザーには準備期間が設けられており、公開され次第迅速にアップデートを適用してほしいという意図がうかがえる。 OpenSSLでは、2014年に見つかった「CVE-2014-0160」いわゆる... 続きを読む

IAM Roles Anywhereのハンズオンを通して、OpenSSLとか証明書とかについて勉強できたのでメモ - Qiita

2022/09/10 16 users Qiita ハンズオン 本筋 AWSエバンジェリスト メモ

AWSエバンジェリストシリーズの特別編でIAM Roles Anywhereのハンズオンに参加したときに、OpenSSLやら証明書やら使用したので非常に勉強になりました。 ハンズオンの後に色々調べてみたので、個人的なメモとして残しておきます。 IAM Roles Anywhereとは 本筋とは外れるので詳細は調べていただくとして、IAM Roles Anyw... 続きを読む

「OpenSSL」にリモートコード実行などにつながる脆弱性 ～v3.0.5/1.1.1q」への更新を／最大深刻度は「High」

2022/07/06 50 users リモートコード実行 high 脆弱性 更新

続きを読む

QUICスタックとTLSライブラリの関係とOpenSSLの状況

2021/11/04 15 users quic TLS スタック TLSライブラリ 内部

図1: TLS over TCP と QUIC のスタック構造の比較はじめにQUICはTLSv1.3に相当するセキュリティを標準装備すると説明されます。図1はよく参照されるスタック構成ですが、TLSがQUICスタックの内部に埋め込まれています。縦に積み上げられた “スタック” になっていません。TLSの埋め込みは何を意味しているのでしょうか？... 続きを読む

Let's EncryptのDST Root X3ルート証明書の期限切れとOpenSSLの影響についていろいろ試してみた

2021/10/08 137 users アナウンス 移行計画 事前 影響範囲 製品

Let's Encryptでこれまで長く使用されてきたIdentrust社発行のDST Root X3ルート証明書が、日本時間2021年9月30日23時1分15秒に期限切れになりました。十分時間を取って事前に移行計画や影響範囲、救える環境、救えない環境などアナウンスをしてきましたが、やはり、期限切れ以降、様々なサービスや製品で接続できないと... 続きを読む

Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件

2021/09/30 375 users Let's Encrypt 事故 寿命 物語

これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの（具体的にいうと2016年くらいまでの）古... 続きを読む

OpenSSLに情報窃取の脆弱性、アップデートを | マイナビニュース

2019/02/27 31 users Moderate US-CERT 情報窃取 脆弱性 重要度

United States Computer Emergency Readiness Team (US-CERT)は2月26日(米国時間)、「OpenSSL Releases Security Update｜US-CERT」において、OpenSSLに脆弱性(CVE-2019-1559)が存在すると伝えた。 OpenSSL Project はこの脆弱性の重要度を中 (Moderate) と評価している。公開された情報によると、OpenSSL にはパディン... 続きを読む

【セキュリティ ニュース】「OpenSSL」のRSA鍵生成時に秘密鍵取得されるおそれ - 次期更新で修正予定（1ページ目 / 全1ページ）：Security NEXT

2018/04/19 10 users サイドチャネル攻撃 キャッシュ Security NEXT

「OpenSSL」に秘密鍵を取得されるおそれがある脆弱性が判明した。ただし、重要度は「低」とされており、次期アップデートで修正予定だという。 開発チームによれば、RSAキー生成時において、キャッシュのタイミングに関わる脆弱性「CVE-2018-0737」が判明したもの。 RSA鍵の生成プロセス中にアクセス権を持つ攻撃者によってサイドチャネル攻撃を受けた場合、秘密鍵を取得されるおそれがあるという。 ... 続きを読む

SSL/TLSについてまとめ2018 - Qiita

2018/02/10 537 users Qiita TLS https プロトコル Apache

はじめに SSL/TLSについて改めて理解を深めたい思い、関連する技術についてまとめました。 本記事はTLSに関すること主題として、HTTPS、暗号化、Apache、OpenSSL等について記載しています。 SSL/TLSの通信は色々なプロトコルや暗号化方式が組み合わされ補いあってできています。暗号化の仕組みはパズルのようで面白いです。一つ一つを読み取り理解が深まるごとで、SSL/TLSって本当に... 続きを読む

無料でOpenSSLに関する実務的な手順や解説が参照できる「OpenSSLクックブック」が配布中 - GIGAZINE

2018/02/08 66 users OpenSSLクックブック https GIGAZINE

インターネット社会において通信の暗号化は不可欠です。オープンソースで開発・提供されているSSL・TSLプロトコルのソフトウェア「 OpenSSL 」は通信を暗号化するために用いられるライブラリで、ほぼすべての Unix系 やWindowsのプラットフォームで利用可能。WEBブラウザの通信で使われる「 HTTPS 」通信もOpenSSLで動作しているなど、非常に広範囲で使用されている暗号化ライブラリ... 続きを読む

無料でOpenSSLに関する実務的な手順や解説が参照できる「OpenSSLクックブック」が配布中 - GIGAZINE

2018/02/07 66 users OpenSSLクックブック https GIGAZINE

インターネット社会において通信の暗号化は不可欠です。オープンソースで開発・提供されているSSL・TSLプロトコルのソフトウェア「 OpenSSL 」は通信を暗号化するために用いられるライブラリで、ほぼすべての Unix系 やWindowsのプラットフォームで利用可能。WEBブラウザの通信で使われる「 HTTPS 」通信もOpenSSLで動作しているなど、非常に広範囲で使用されている暗号化ライブラリ... 続きを読む

WPA2の脆弱性は“大げさ”だった？　「初報だけ盛り上がる問題」を考える (1/3) - ITmedia NEWS

2017/10/27 65 users WPA2 脆弱性 初報 ITmedia News 問題

それでも、脆弱性に起因する事件は「話題にならなくなってから」が重要です。今回はタイミングを外したからというわけではないものの、話題になった脆弱性の 「その後の継続ウォッチが重要だ」 ということを知ってほしいと思います。 話題になった脆弱性をどう受けとめるか 2014年4月、オープンソースの暗号ライブラリ「OpenSSL」に脆弱性が発見され、多くのサーバに影響があることが判明しました。この脆弱性は「... 続きを読む

SSLを基礎から学ぶには最適の入門書「食べる！SSL！- HTTPS環境構築から始めるSSL入門」 ｜ Developers.IO

2017/10/26 180 users Developers.IO SSL 基礎 入門書 例外

「良い本に出会った。感動した。」 by濱田 2014年4月のOpenSSLの脆弱性に起因するHeartbleed事件では、世界中のエンジニアが対応に追われました。この記事を読んでいる人で、あの日のことを懐かしく 苦しく 思い出す方、多いと思います。自分も例外ではないです。 それだけ広く使われていて、インターネット通信における基礎のSSLですが、皆さん、以下の点にすっきり答えられますか？ SSLとT... 続きを読む

mrubyでOpenSSLを利用し、SSL証明書を作成管理する | 天神スナップオン

2017/05/28 11 users matsumotory mruby シェルスクリプト 実装

同僚である @matsumotory のFastCertificateの実装について、ngx_mrubyからシェルスクリプトで構築されたコマンドであるdehydratedを利用して実装されているのですが、この場合、mrubyから証明書取得のステータスが管理しづらかったり、どうせならmrubyで全てコントロールしたいよねという話から、mruby-acme-clientを書きました。 中身の実装として... 続きを読む

OpenSSLの脆弱性(CVE-2017-3733)に見られる仕様とcastの落とし穴 - ぼちぼち日記

2017/02/20 127 users cast 変数 落とし穴 Mac ぼちぼち日記

2017 - 02 - 20 OpenSSLの脆弱性(CVE-2017-3733)に見られる仕様とcastの落とし穴 TLS 0. 短いまとめ OpenSSL-1.1.0dに 脆弱性 (CVE-2017-3733)が見つかり、Encrypt-Then- Mac と renegotiation を組み合わせて crashさせることができました。 この 脆弱性 は、仕様の準拠不足や不適切な変数の ca... 続きを読む

OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog

2016/03/01 328 users piyolog 愛称 OpenSSL Project 脆弱性

2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advis... 続きを読む

「OpenSSL」に2件の脆弱性、修正を施した最新版が公開 - 窓の杜

2016/01/29 27 users オープンソースライブラリ Logjam TLSプロトコル

ニュース 「OpenSSL」に2件の脆弱性、修正を施した最新版が公開 昨年大きな話題になった“Logjam”攻撃への緩和策も （2016/1/29 17:32） SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」の最新版が、28日に公開された。深刻度が同プロジェクトの基準で3段階中最高の“High”と判定された致命的な脆弱性1件（CVE-2016-0701）を含む2件の脆... 続きを読む