Rust製TLS実装「Rustls」に注目せよ — OpenSSLを凌駕する性能とメモリ安全性を実現

2024/10/25 36 users BoringSSL ISRG TLSライブラリ 焦点 メモ

10月23日、ISRGが「RustlsがOpenSSLやBoringSSLを凌駕する」という記事を公開した。この記事では、Rustlsのメモリ安全性とパフォーマンスに焦点を当て、TLSライブラリの進化について詳しく紹介されている。 10月23日、ISRGが「RustlsがOpenSSLやBoringSSLを凌駕する」という記事を公開した。この記事では、Rustlsのメモ... 続きを読む

Ubuntu 24.04（noble）の開発・FreeRDPとOpenSSLのバージョンの検討 | gihyo.jp

2023/12/09 5 users Noble ホリデーシーズン gihyo.jp バージョン

Ubuntu Weekly Topics Ubuntu 24.04（noble）の開発⁠⁠・FreeRDPとOpenSSLのバージョンの検討 noble（Ubuntu 24.04）の開発・FreeRDPとOpenSSLのバージョンの検討 nobleの開発は、ホリデーシーズンが近いことからも、全体的に「来年どのような作業に取りかかるか」の検討が中心に進められています。ひとつ明確な動きとし... 続きを読む

OpenSSLに複数の重大な脆弱性、ただちに更新を - JPCERT/CC

2023/02/09 90 users JPCERT JPCERTコーディネーションセンター 複数

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月8日、「JVNVU#91213144: OpenSSLに複数の脆弱性」において、OpenSSLに重大なセキュリティ脆弱性が複数存在すると伝えた。これら脆弱性が悪用されると、サービス運用妨害(DoS: Denial of Service)を受けた... 続きを読む

Dell、HP、Lenovoのデバイスファームウェアが古いOpenSSL使用　サプライチェーンリスクが浮き彫りに

2022/11/29 16 users Lenovo Dell 浮き彫り デバイス 古いバージョン

The Hacker NewsはDellとHP、Lenovoのデバイスファームウェアに古いバージョンのOpenSSLが使われていることを指摘した。調査によれば、10年以上前のOpenSSLが使われているデバイスも見つかった。 続きを読む

“脆弱性対策はサボったら負け”　リソース不足の組織がやるべき“基本のき”

2022/11/07 12 users リソース不足 組織 脆弱性対策 基本 セキュリティアップデート

先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。 2022年10月末、多くのシステムで利用されるオープンソースソフトウ... 続きを読む

OpenSSL の脆弱性対策について(CVE-2022-3602、CVE-2022-3786)：IPA 独立行政法人 情報処理推進機構

2022/11/02 13 users バッファオーバーフロー IPA TLS ライブラリ サー

OpenSSL は、SSL および TLS の機能を提供する、オープンソースのライブラリです。 この OpenSSL において、X.509 証明書の検証処理を通じてバッファオーバーフローが発生する脆弱性が確認されています。 本脆弱性が悪用されると、攻撃者が用意した悪意のある証明書によりオーバーフローが引き起こされ、結果としてサー... 続きを読む

【セキュリティ ニュース】「OpenSSL」にセキュリティアップデート - 脆弱性の評価は下方修正（1ページ目 / 全1ページ）：Security NEXT

2022/11/01 19 users Critical セキュリティアップデート クリティカル

OpenSSLの開発チームは、協定世界時11月1日に事前予告どおりセキュリティアップデート「同3.0.7」をリリースし、複数の脆弱性に対処した。当初重要度は「クリティカル（Critical）」を予定していたが、「高（High）」へと下方修正されている。 今回明らかにされた脆弱性は、「X.509証明書」の検証処理を通じてバッファオ... 続きを読む

RHEL9互換の国産Linux OS「MIRACLE LINUX 9」が無償公開。2032年までパッケージアップデートやセキュリティパッチを無償提供

2022/11/01 26 users セキュリティパッチ SELinux RHEL 国産Linux

サイバートラストは、Red Hat Enterprise Linux（RHEL）9 互換の国産Linux OS「MIRACLE LINUX 9」の無償提供を開始しました。 「MIRACLE LINUX 9 」は、RHEL9と同様にLinuxカーネル5.14を採用し、OpenSSLなどの主要なパッケージのバーションアップの他、SELinux の性能改善、セキュアブート対応など、主にセキュリティ関... 続きを読む

OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を

2022/11/01 356 users Critical 脆弱性 修正版 史上2度目 更新

OpenSSLに重大度「CRITICAL(致命的)」の脆弱(ぜいじゃく)性が発見されました。脆弱性への対応は迅速に行われており、日本時間の2022年11月1日22時～2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」が公開予定です。OpenSSLに重大度「致命的」の脆弱性が発見されたのは、2014年に報告されて世界中を騒がせた「Heartblee... 続きを読む

OpenSSL warns of critical security vulnerability with upcoming patch

2022/10/29 16 users PATCH everyone but we and i

OpenSSL warns of critical security vulnerability with upcoming patch We don't have the details yet, but we can safely say that come Nov. 1, everyone -- and I mean everyone -- will need to patch OpenSSL 3.x. Everyone depends on OpenSSL. You may not know it, but OpenSSL is what makes it possible to... 続きを読む

OpenSSLが「緊急」の脆弱性に対処　2022年11月1日に新バージョンをリリース

2022/10/29 16 users Critical OpenSSLプロジェクト 脆弱性 対処

OpenSSLプロジェクトによれば、今回のアップデートは「緊急」（CRITICAL）の脆弱（ぜいじゃく）性に対処するためのものだ。リリースに備えてユーザーには準備期間が設けられており、公開され次第迅速にアップデートを適用してほしいという意図がうかがえる。 OpenSSLでは、2014年に見つかった「CVE-2014-0160」いわゆる... 続きを読む

IAM Roles Anywhereのハンズオンを通して、OpenSSLとか証明書とかについて勉強できたのでメモ - Qiita

2022/09/10 16 users Qiita ハンズオン 本筋 AWSエバンジェリスト メモ

AWSエバンジェリストシリーズの特別編でIAM Roles Anywhereのハンズオンに参加したときに、OpenSSLやら証明書やら使用したので非常に勉強になりました。 ハンズオンの後に色々調べてみたので、個人的なメモとして残しておきます。 IAM Roles Anywhereとは 本筋とは外れるので詳細は調べていただくとして、IAM Roles Anyw... 続きを読む

「OpenSSL」にリモートコード実行などにつながる脆弱性 ～v3.0.5/1.1.1q」への更新を／最大深刻度は「High」

2022/07/06 50 users リモートコード実行 high 脆弱性 更新

続きを読む

QUICスタックとTLSライブラリの関係とOpenSSLの状況

2021/11/04 15 users quic TLS スタック TLSライブラリ 内部

図1: TLS over TCP と QUIC のスタック構造の比較はじめにQUICはTLSv1.3に相当するセキュリティを標準装備すると説明されます。図1はよく参照されるスタック構成ですが、TLSがQUICスタックの内部に埋め込まれています。縦に積み上げられた “スタック” になっていません。TLSの埋め込みは何を意味しているのでしょうか？... 続きを読む

Let's EncryptのDST Root X3ルート証明書の期限切れとOpenSSLの影響についていろいろ試してみた

2021/10/08 137 users アナウンス 移行計画 事前 影響範囲 製品

Let's Encryptでこれまで長く使用されてきたIdentrust社発行のDST Root X3ルート証明書が、日本時間2021年9月30日23時1分15秒に期限切れになりました。十分時間を取って事前に移行計画や影響範囲、救える環境、救えない環境などアナウンスをしてきましたが、やはり、期限切れ以降、様々なサービスや製品で接続できないと... 続きを読む

Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件

2021/09/30 375 users Let's Encrypt 事故 寿命 物語

これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの（具体的にいうと2016年くらいまでの）古... 続きを読む

「OpenSSL」に2件の脆弱性、深刻度は“高” ～「OpenSSL 1.1.1k」への更新を - 窓の杜

2021/03/29 8 users 深刻度 脆弱性 更新 2件

続きを読む

OpenSSLの脆弱性（CVE-2021-3450、CVE-2021-3449）に関する注意喚起

2021/03/26 8 users NULLポインタ参照 OpenSSL Project 検証

JPCERT-AT-2021-0015 JPCERT/CC 2021-03-26 I. 概要2021年3月25日（現地時間）、OpenSSL ProjectからOpenSSLの脆弱性（CVE-2021-3450、CVE-2021-3449）に関する情報が公開されました。OpenSSLには、X.509証明書の検証不備の脆弱性やセッション確立時に細工したメッセージを処理することでNULLポインタ参照が発生する脆弱... 続きを読む

【セキュリティ ニュース】「TLS 1.2」以前に「Raccoon Attack」のおそれ - OpenSSL、F5などが対処（1ページ目 / 全2ページ）：Security NEXT

2020/09/14 6 users Diffie-Hellman 解読 月例パッチ BIG-IP

「TLS 1.2」以前において、「Diffie-Hellman（DH）鍵交換」を利用している場合に、暗号化された通信が解読可能となる攻撃手法「Raccoon Attack」が明らかとなった。マイクロソフトは、9月の月例パッチで対処しており、「OpenSSL」やF5の「BIG-IP」の旧バージョンなども影響を受けるという。 「TLS 1.2」以前において「DH... 続きを読む

「OpenSSL」に暗号通信を解読可能な脆弱性“Raccoon Attack” ～パッチ提供のない旧版は注意 - 窓の杜

2020/09/11 7 users Raccoon Attack 解読 脆弱性 パッチ提供 旧版

続きを読む

OpenSSLに情報窃取の脆弱性、アップデートを | マイナビニュース

2019/02/27 31 users Moderate US-CERT 情報窃取 脆弱性 重要度

United States Computer Emergency Readiness Team (US-CERT)は2月26日(米国時間)、「OpenSSL Releases Security Update｜US-CERT」において、OpenSSLに脆弱性(CVE-2019-1559)が存在すると伝えた。 OpenSSL Project はこの脆弱性の重要度を中 (Moderate) と評価している。公開された情報によると、OpenSSL にはパディン... 続きを読む

【セキュリティ ニュース】「OpenSSL」のRSA鍵生成時に秘密鍵取得されるおそれ - 次期更新で修正予定（1ページ目 / 全1ページ）：Security NEXT

2018/04/19 10 users サイドチャネル攻撃 キャッシュ Security NEXT

「OpenSSL」に秘密鍵を取得されるおそれがある脆弱性が判明した。ただし、重要度は「低」とされており、次期アップデートで修正予定だという。 開発チームによれば、RSAキー生成時において、キャッシュのタイミングに関わる脆弱性「CVE-2018-0737」が判明したもの。 RSA鍵の生成プロセス中にアクセス権を持つ攻撃者によってサイドチャネル攻撃を受けた場合、秘密鍵を取得されるおそれがあるという。 ... 続きを読む

SSL/TLSについてまとめ2018 - Qiita

2018/02/10 537 users Qiita TLS https プロトコル Apache

はじめに SSL/TLSについて改めて理解を深めたい思い、関連する技術についてまとめました。 本記事はTLSに関すること主題として、HTTPS、暗号化、Apache、OpenSSL等について記載しています。 SSL/TLSの通信は色々なプロトコルや暗号化方式が組み合わされ補いあってできています。暗号化の仕組みはパズルのようで面白いです。一つ一つを読み取り理解が深まるごとで、SSL/TLSって本当に... 続きを読む

無料でOpenSSLに関する実務的な手順や解説が参照できる「OpenSSLクックブック」が配布中 - GIGAZINE

2018/02/08 66 users OpenSSLクックブック https GIGAZINE

インターネット社会において通信の暗号化は不可欠です。オープンソースで開発・提供されているSSL・TSLプロトコルのソフトウェア「 OpenSSL 」は通信を暗号化するために用いられるライブラリで、ほぼすべての Unix系 やWindowsのプラットフォームで利用可能。WEBブラウザの通信で使われる「 HTTPS 」通信もOpenSSLで動作しているなど、非常に広範囲で使用されている暗号化ライブラリ... 続きを読む

無料でOpenSSLに関する実務的な手順や解説が参照できる「OpenSSLクックブック」が配布中 - GIGAZINE

2018/02/07 66 users OpenSSLクックブック https GIGAZINE

インターネット社会において通信の暗号化は不可欠です。オープンソースで開発・提供されているSSL・TSLプロトコルのソフトウェア「 OpenSSL 」は通信を暗号化するために用いられるライブラリで、ほぼすべての Unix系 やWindowsのプラットフォームで利用可能。WEBブラウザの通信で使われる「 HTTPS 」通信もOpenSSLで動作しているなど、非常に広範囲で使用されている暗号化ライブラリ... 続きを読む