OpenSSLに複数の重大な脆弱性、ただちに更新を - JPCERT/CC

2023/02/09 90 users JPCERT JPCERTコーディネーションセンター 複数

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月8日、「JVNVU#91213144: OpenSSLに複数の脆弱性」において、OpenSSLに重大なセキュリティ脆弱性が複数存在すると伝えた。これら脆弱性が悪用されると、サービス運用妨害(DoS: Denial of Service)を受けた... 続きを読む

OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を

2022/11/01 356 users Critical 脆弱性 修正版 史上2度目 更新

OpenSSLに重大度「CRITICAL(致命的)」の脆弱(ぜいじゃく)性が発見されました。脆弱性への対応は迅速に行われており、日本時間の2022年11月1日22時～2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」が公開予定です。OpenSSLに重大度「致命的」の脆弱性が発見されたのは、2014年に報告されて世界中を騒がせた「Heartblee... 続きを読む

「OpenSSL」にリモートコード実行などにつながる脆弱性 ～v3.0.5/1.1.1q」への更新を／最大深刻度は「High」

2022/07/06 50 users リモートコード実行 high 脆弱性 更新

続きを読む

Let's EncryptのDST Root X3ルート証明書の期限切れとOpenSSLの影響についていろいろ試してみた

2021/10/08 137 users アナウンス 移行計画 事前 影響範囲 製品

Let's Encryptでこれまで長く使用されてきたIdentrust社発行のDST Root X3ルート証明書が、日本時間2021年9月30日23時1分15秒に期限切れになりました。十分時間を取って事前に移行計画や影響範囲、救える環境、救えない環境などアナウンスをしてきましたが、やはり、期限切れ以降、様々なサービスや製品で接続できないと... 続きを読む

Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件

2021/09/30 375 users Let's Encrypt 事故 寿命 物語

これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの（具体的にいうと2016年くらいまでの）古... 続きを読む

SSL/TLSについてまとめ2018 - Qiita

2018/02/10 537 users Qiita TLS https プロトコル Apache

はじめに SSL/TLSについて改めて理解を深めたい思い、関連する技術についてまとめました。 本記事はTLSに関すること主題として、HTTPS、暗号化、Apache、OpenSSL等について記載しています。 SSL/TLSの通信は色々なプロトコルや暗号化方式が組み合わされ補いあってできています。暗号化の仕組みはパズルのようで面白いです。一つ一つを読み取り理解が深まるごとで、SSL/TLSって本当に... 続きを読む

無料でOpenSSLに関する実務的な手順や解説が参照できる「OpenSSLクックブック」が配布中 - GIGAZINE

2018/02/08 66 users OpenSSLクックブック https GIGAZINE

インターネット社会において通信の暗号化は不可欠です。オープンソースで開発・提供されているSSL・TSLプロトコルのソフトウェア「 OpenSSL 」は通信を暗号化するために用いられるライブラリで、ほぼすべての Unix系 やWindowsのプラットフォームで利用可能。WEBブラウザの通信で使われる「 HTTPS 」通信もOpenSSLで動作しているなど、非常に広範囲で使用されている暗号化ライブラリ... 続きを読む

無料でOpenSSLに関する実務的な手順や解説が参照できる「OpenSSLクックブック」が配布中 - GIGAZINE

2018/02/07 66 users OpenSSLクックブック https GIGAZINE

インターネット社会において通信の暗号化は不可欠です。オープンソースで開発・提供されているSSL・TSLプロトコルのソフトウェア「 OpenSSL 」は通信を暗号化するために用いられるライブラリで、ほぼすべての Unix系 やWindowsのプラットフォームで利用可能。WEBブラウザの通信で使われる「 HTTPS 」通信もOpenSSLで動作しているなど、非常に広範囲で使用されている暗号化ライブラリ... 続きを読む

WPA2の脆弱性は“大げさ”だった？　「初報だけ盛り上がる問題」を考える (1/3) - ITmedia NEWS

2017/10/27 65 users WPA2 脆弱性 初報 ITmedia News 問題

それでも、脆弱性に起因する事件は「話題にならなくなってから」が重要です。今回はタイミングを外したからというわけではないものの、話題になった脆弱性の 「その後の継続ウォッチが重要だ」 ということを知ってほしいと思います。 話題になった脆弱性をどう受けとめるか 2014年4月、オープンソースの暗号ライブラリ「OpenSSL」に脆弱性が発見され、多くのサーバに影響があることが判明しました。この脆弱性は「... 続きを読む

SSLを基礎から学ぶには最適の入門書「食べる！SSL！- HTTPS環境構築から始めるSSL入門」 ｜ Developers.IO

2017/10/26 180 users Developers.IO SSL 基礎 入門書 例外

「良い本に出会った。感動した。」 by濱田 2014年4月のOpenSSLの脆弱性に起因するHeartbleed事件では、世界中のエンジニアが対応に追われました。この記事を読んでいる人で、あの日のことを懐かしく 苦しく 思い出す方、多いと思います。自分も例外ではないです。 それだけ広く使われていて、インターネット通信における基礎のSSLですが、皆さん、以下の点にすっきり答えられますか？ SSLとT... 続きを読む

OpenSSLの脆弱性(CVE-2017-3733)に見られる仕様とcastの落とし穴 - ぼちぼち日記

2017/02/20 127 users cast 変数 落とし穴 Mac ぼちぼち日記

2017 - 02 - 20 OpenSSLの脆弱性(CVE-2017-3733)に見られる仕様とcastの落とし穴 TLS 0. 短いまとめ OpenSSL-1.1.0dに 脆弱性 (CVE-2017-3733)が見つかり、Encrypt-Then- Mac と renegotiation を組み合わせて crashさせることができました。 この 脆弱性 は、仕様の準拠不足や不適切な変数の ca... 続きを読む

OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog

2016/03/01 328 users piyolog 愛称 OpenSSL Project 脆弱性

2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advis... 続きを読む

OpenSSLにオランダ政府が6400万円を寄付、「バックドア反対」を公式表明 - GIGAZINE

2016/01/06 53 users GIGAZINE Twitter Heartbleed 人員

By Christiaan Colen AmazonからTwitterに至るまでインターネット上の約66％が使用するオープンソースの暗号化通信ソフトウェアである OpenSSL は、「Heartbleed」と呼ばれる脆弱性の発見により、 わずか4人のプログラマーによって維持されていた ことがわかっています。「インターネットセキュリティ開発の資金や人員などのリソース不足」という問題が存在している中、... 続きを読む

Linuxで脆弱性が見つかった場合の対応方法 まとめ ｜ Developers.IO

2015/07/21 244 users Linux Developers.IO 脆弱性 まとめ 方法

はじめに 前日、Amazon Linuxで脆弱性が見つかった際に弊社のAWSチームのメンバーが以下の記事を公開していました。私は最近までクライアントサイドの開発案件を主に担当していたのであまり業務には関わりはないのですが、どのような手順でLinuxの脆弱性に対応しているのか興味があったので社内の人に聞いたり調べてみたことをまとめます。 [AmazonLinux] OpenSSLの脆弱性(CVE-2... 続きを読む

OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記

2015/07/10 340 users advisory iojs ぼちぼち日記 長文 脆弱性

TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/No... 続きを読む

OpenSSLの脆弱性CVE-2015-1793について - ロードバランスすだちくん

2015/07/09 57 users ロードバランスすだちくん

シンジです。続報です。（前回の記事） 新たに正式なアナウンスがありましたので、各種発表の一部から要約してお伝えします。脆弱性について証明書系の攻撃にて、中間者攻撃を受ける可能性緊急度高いとされています。影響度影響度は低いと考えます。AWSの各種サービスには、事実上影響無しHTTPS/FTPSなどSSL証明書を使用していない場合は影響なし Amazon Linuxはリポジトリを更新済みで適用可能 A... 続きを読む

OpenSSLにまた重度の欠陥、修正アップデートは3月19日にリリース：CodeZine

2015/03/18 219 users CodeZine メーリングリスト 重度 欠陥 見込み

OpenSSLプロジェクトチームは、日本時間の3月17日未明に送信された同コミュニティのメーリングリストにおいて、OpenSSLの修正アップデート1.0.2a, 1.0.1m, 1.0.0r、0.9.8zfをリリースする予定だと発表した。 リリース日は、3月19日（日本時間では3月20日の見込み）。多くのセキュリティ上の欠陥を修正するという。今回修正される欠陥は最高レベルの深刻度であるというので、... 続きを読む

米輸出規制に起因するTLS/SSLの脆弱性「FREAK」が発覚 - ITmedia エンタープライズ

2015/03/04 50 users Freak TLS Safari SSLプロトコル 発覚

1990年代の米暗号輸出規制に起因する脆弱性が残ったまま現在に至っていたことが判明した。AndroidブラウザやSafariに影響するとみられている。 インターネットの通信の暗号化に使われているTLS/SSLプロトコルに、1990年代の米国の暗号輸出規制に起因する脆弱性が存在することが分かった。AppleのSafariや、Androidブラウザに使われているOpenSSLなどが影響を受けるとされ、... 続きを読む

Node-v0.10.34がはまったクロスルート証明書とOpenSSLの落とし穴 - ぼちぼち日記

2014/12/22 87 users 言い訳 node.js 経緯 目線 エントリー

Node.js, OpenSSL既に12月23日ですが、このエントリーは、Node.js Advent Calendar 2014の13日目のエントリーです。 いや私が書くの遅れたわけじゃないですけど…(言い訳)、ちょうどタイムリーなネタがあるので、先日リリースされたNode-v0.10.34で発生した（現在も継続している）問題について携わった経緯を自分の目線で書いてみます。 1. Node-v0... 続きを読む

AWS環境のPOODLE脆弱性対応 (CVE-2014-3566) ｜ Developers.IO

2014/10/15 145 users CVE-2014-3566 Developers.IO

こんにちは、三井田です。 米国時間の10/14、SSLv3のPOODLE問題というセキュリティ脆弱性(CVE-2014-3566)について 詳細がアナウンスされました。 参考リンク； OpenSSL: https://www.openssl.org/~bodo/ssl-poodle.pdf Google: https://blog.cloudflare.com/sslv3-support-disa... 続きを読む

OpenSSLに重大な脆弱性？ RSA暗号の1024ビット鍵が20分で因数分解できるとの怪情報が流れる | アプリオ

2014/10/05 54 users Twitter アプリオ TLS RSA暗号 SSL

OpenSSLに重大な脆弱性？ RSA暗号の1024ビット鍵が20分で因数分解できるとの怪情報が流れる 2014.10.06 7:48 海外掲示板Redditに「OpenSSLの脆弱性によりRSA暗号の1024ビットが20分で因数分解できる」との投稿があり、Twitterなどで話題になっています。OpenSSLとは、インターネット上における標準的な暗号通信プロトコルであるSSLやTLSに対応したオ... 続きを読む

bashシェルの修正パッチは不完全、脆弱性突く攻撃の報告も - ITmedia エンタープライズ

2014/09/25 52 users bashシェル bash Heartbleed 修正パッチ

9月24日に公開されたbashのパッチは不完全だったことが分かった。既に脆弱性を突く攻撃が出回っているとの報告もある。 LinuxやMac OS XなどのUNIX系OSで標準的なシェルとして使われている「bash」に重大な脆弱性が見つかった問題で、9月24日に公開されたパッチは不完全だったことが分かった。攻撃の発生も確認され、影響の大きさは4月に発覚したOpenSSLの脆弱性（Heartbleed... 続きを読む

患者450万人の個人情報流出、発端はOpenSSLの脆弱性だった - ITmedia エンタープライズ

2014/08/20 67 users 発端 Heartbleed 脆弱性 個人情報流出 ネットワーク

米病院チェーンから患者450万人の個人情報が流出した事件は、4月に発覚したOpenSSLの重大な脆弱性を突く攻撃でネットワークに侵入されていたことが分かった。 米病院チェーンのCommunity Health Systems（CHS）社から患者約450万人の個人情報が流出した問題で、米セキュリティ企業TrustedSecは8月19日、4月に発覚した「Heartbleed」と呼ばれるOpenSSLの... 続きを読む

OpenSSLの脆弱性(CVE-2014-3511)でTLSプロトコルの基礎を学ぶ - ぼちぼち日記

2014/08/08 325 users TLS TLSプロトコル ぼちぼち日記 脆弱性 基礎

TLS, OpenSSL 1. はじめに、昨日 OpenSSLのバージョンアップがアナウンスされ、９つの脆弱性が公開されました。バージョンアップの数日前にOpenSSLの次期リリース予告がアナウンスされていましたが、ちょうど BlackHat 開催初日にあたることもあり、なんかまた重大な脆弱性の修正が入るんじゃないかとドキドキしていました。蓋を開けてみるとHeatBleed程の大事ではなくホットひ... 続きを読む

GoogleによるOpenSSLのfork、BoringSSLを試す。 - ぼちぼち日記

2014/07/29 54 users closed fork BoringSSL Chrome 従来

TLS 1. はじめに、先日、Chrome で 「Issue 401153002: Switch to BoringSSL. (Closed)」 という変更が行われました。これは、従来の Android向け Chrome では OpenSSL を利用していたのですが、今回これをGoogleがOpenSSLをforkしたBoringSSLに切り替えたことになります。 BoringSSLの発表からわず... 続きを読む