WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まっている

2014/04/13 1044 users Wireshark 落ち穂 ろば電子 Heartbleed

OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。というわけで今回のテーマとして、手元にサーバの秘密鍵と、S... 続きを読む

OpenSSLの脆弱性で想定されるリスク - めもおきば

2014/04/10 913 users Ope おきば JPCERT JVN プロトコル

JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今回の脆弱性の内容いわゆる「SSL通信」と呼ばれる暗号化通信は、実際にはSSL 3.0とより新しいTLS 1.0〜1.2（互換性のためプロトコル上の番号は3.1〜3.3）というプロトコルで定義されています。これらを使うために、様々なソフトウェアが利用している共通ライブラリが Ope... 続きを読む

OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 | TechCrunch Japan

2014/04/08 709 users 大部分 重大バグ 発覚 TechCrunch JAPAN 影響

こんなTシャツを見たことがある。「私は爆発物処理技術者だ、私が走っているのを見たら、起きていた方がいい」。 同じことはネットセキュリティーに関しても言える。知り合いのセキュリティー関係者全員がうろたえていたら、たぶん心配した方がいい。 今日（米国時間4/7）の午後、私の知っている多くのセキュリティー関係者がうろたえている。非常に深刻なバグがOpenSSLに見つかり、公表された。OpenSSLは、イ... 続きを読む

SSL/TLSについてまとめ2018 - Qiita

2018/02/10 537 users Qiita TLS https プロトコル Apache

はじめに SSL/TLSについて改めて理解を深めたい思い、関連する技術についてまとめました。 本記事はTLSに関すること主題として、HTTPS、暗号化、Apache、OpenSSL等について記載しています。 SSL/TLSの通信は色々なプロトコルや暗号化方式が組み合わされ補いあってできています。暗号化の仕組みはパズルのようで面白いです。一つ一つを読み取り理解が深まるごとで、SSL/TLSって本当に... 続きを読む

巷を賑わすHeartbleedの脆弱性とは？！ — Mobage Developers Blog

2014/04/15 417 users Heartbleed CVE-2014-0160 脆弱性

こんにちは。セキュリティ技術グループのはるぷと申します。OpenSSLの脆弱性(CVE-2014-0160, JVNU#94401838)が2014年4月7日に公開され、OpenSSLが普及していることや、比較的早く実証コードが流通してしまった背景もあり、巷を賑わせました。今回は、このOpenSSLの脆弱性をより深く解説したいと思います。 1. OpenSSLの脆弱性(CVE-2014-0160)... 続きを読む

OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も - CNET Japan

2014/05/07 397 users Facebook OpenID OAuth LinkedIn

OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Tec... 続きを読む

Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件

2021/09/30 375 users Let's Encrypt 事故 寿命 物語

これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの（具体的にいうと2016年くらいまでの）古... 続きを読む

OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を

2022/11/01 356 users Critical 脆弱性 修正版 史上2度目 更新

OpenSSLに重大度「CRITICAL(致命的)」の脆弱(ぜいじゃく)性が発見されました。脆弱性への対応は迅速に行われており、日本時間の2022年11月1日22時～2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」が公開予定です。OpenSSLに重大度「致命的」の脆弱性が発見されたのは、2014年に報告されて世界中を騒がせた「Heartblee... 続きを読む

OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記

2015/07/10 340 users advisory iojs ぼちぼち日記 長文 脆弱性

TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/No... 続きを読む

覚えやすいけど強固なパスワード文字列を考えるコツ - tarのブログるっ by @tarVolcano

2014/04/20 336 users tar IPA CVE-2014-0160 セキュリティ コツ

2014-04-20 覚えやすいけど強固なパスワード文字列を考えるコツ インターネット iPhone パソコン Computer Security Photo by IntelFreePress ここ最近のOpen SSLのHeart Bleedバグなどで、セキュリティについて考えさせられることが多くなってきました。 更新：OpenSSL の脆弱性対策について(CVE-2014-0160)：IPA... 続きを読む

OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません(山本 一郎) - 個人 - Yahoo!ニュース

2014/04/15 334 users エクスプロイト Heartbleed 激震 TLS実装 一郎

山本一郎です。尿酸値がやばすぎます。 ところで、広く世界中で利用されるオープンソースのSSL/TLS実装「OpenSSL」に脆弱性が発見されネット界に激震が走りました。 OpenSSLの「Heartbleed」脆弱性、一般ユーザーの自衛は困難　対応は長期戦か（ITmedia 2014/4/10） 「OpenSSL」に秘密鍵漏洩する脆弱性「Heartbleed」が存在 - エクスプロイトも流通（Se... 続きを読む

OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog

2016/03/01 328 users piyolog 愛称 OpenSSL Project 脆弱性

2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advis... 続きを読む

OpenSSLの脆弱性(CVE-2014-3511)でTLSプロトコルの基礎を学ぶ - ぼちぼち日記

2014/08/08 325 users TLS TLSプロトコル ぼちぼち日記 脆弱性 基礎

TLS, OpenSSL 1. はじめに、昨日 OpenSSLのバージョンアップがアナウンスされ、９つの脆弱性が公開されました。バージョンアップの数日前にOpenSSLの次期リリース予告がアナウンスされていましたが、ちょうど BlackHat 開催初日にあたることもあり、なんかまた重大な脆弱性の修正が入るんじゃないかとドキドキしていました。蓋を開けてみるとHeatBleed程の大事ではなくホットひ... 続きを読む

本の虫: OpenBSD、怒りのコミット

2014/04/11 307 users OpenBSD libssl IETF Makefile

2014-04-11 OpenBSD、怒りのコミット OpenSSLのheatbeatバグの対応のため、OpenBSDはOpenSSLのheatbeatを無効にするコミットをした。ただし・・・ src/lib/libssl/ssl/Makefile - view - 1.29 SegglemannのRFC520 heatbeatを無効化。 あのまともなプロトコルひとつ制定できないIETFの無能集団... 続きを読む

CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 - 株式会社レピダム

2014/06/05 297 users CVE-2014-0224 経緯 株式会社レピダム 発見 順序

菊池です。CCS Injection脆弱性(CVE-2014-0224)発見の経緯について紹介します。 バグの簡単な解説 OpenSSLがハンドシェーク中に不適切な状態でChangeCipherSpecを受理してしまうのが今回のバグです。 このバグはOpenSSLの最初のリリースから存在していました。 通常のハンドシェークでは、右の図のような順序でメッセージを交換します(RFC5246 The T... 続きを読む

Kazuho's Weblog: Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について

2014/04/11 294 users Kazuho's Weblog 欠陥 背後 メモリ サーバ

Friday, April 11, 2014 Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について ■Heartbleedのリスクと善後策 Heartbleedは、攻撃者が一定の条件を満たすOpenSSLが動作しているサーバの、任意位置のメモリを外部から読み出すことができてしまうという脆弱性です。具体的には、以下のようなリスクが想定されています。 秘... 続きを読む

Linuxで脆弱性が見つかった場合の対応方法 まとめ ｜ Developers.IO

2015/07/21 244 users Linux Developers.IO 脆弱性 まとめ 方法

はじめに 前日、Amazon Linuxで脆弱性が見つかった際に弊社のAWSチームのメンバーが以下の記事を公開していました。私は最近までクライアントサイドの開発案件を主に担当していたのであまり業務には関わりはないのですが、どのような手順でLinuxの脆弱性に対応しているのか興味があったので社内の人に聞いたり調べてみたことをまとめます。 [AmazonLinux] OpenSSLの脆弱性(CVE-2... 続きを読む

OpenSSLの脆弱性(CVE-2014-0160)関連のメモをまとめてみた - piyolog

2014/04/10 232 users Heartbleed OpenS piyolog 当該脆弱性

調べてみた | 23:14 | HeartBleed(CVE-2014-0160)関係のリンク集、自分のメモ用なので不正確です。 HeartBleedの影響対象となるOpenSSLバージョン以下のバージョンが影響を受けます。但し、システムによっては原因となっているheartbeat機能が無効化されている場合もあるため、バージョンが一致しただけで当該脆弱性の影響を受けるかは確定しません。 OpenS... 続きを読む

OpenSSLにまた重度の欠陥、修正アップデートは3月19日にリリース：CodeZine

2015/03/18 219 users CodeZine メーリングリスト 重度 欠陥 見込み

OpenSSLプロジェクトチームは、日本時間の3月17日未明に送信された同コミュニティのメーリングリストにおいて、OpenSSLの修正アップデート1.0.2a, 1.0.1m, 1.0.0r、0.9.8zfをリリースする予定だと発表した。 リリース日は、3月19日（日本時間では3月20日の見込み）。多くのセキュリティ上の欠陥を修正するという。今回修正される欠陥は最高レベルの深刻度であるというので、... 続きを読む

OpenSSLとPythonでRSA暗号の原理を知る - ももいろテクノロジー

2013/11/27 213 users RSA暗号 Python ＩＳ ももいろテクノロジー 原理

2013-11-27 OpenSSLとPythonでRSA暗号の原理を知る OpenSSLを使うと、次のようにして2048bitのRSA鍵が作成できる。 $ openssl genrsa 2048 Generating RSA private key, 2048 bit long modulus ......................+++ .................+++ e is... 続きを読む

OpenSSLの脆弱性で初の被害、カナダや英国で発覚 - ITmedia エンタープライズ

2014/04/14 209 users TLS実装 何者 カナダ歳入庁 カナダ 英国

カナダ歳入庁や英MumsnetはOpenSSLの脆弱性が発覚した直後に対応に乗り出したが、既に納税者情報やパスワードなどの情報が流出していた。 オープンソースのSSL/TLS実装「OpenSSL」に極めて重大な脆弱性が発覚した問題で、カナダ歳入庁は4月14日、何者かがこの脆弱性を悪用して、納税者約900人の社会保障番号を同庁のシステムから削除していたことが分かったと発表した。 また、育児情報サイト... 続きを読む

OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる | スラッシュドット・ジャパン オープンソース

2014/04/17 206 users OpenBSD libssl tamo slashdot 罵倒

tamo 曰く、 OpenBSDがOpenSSLの大掃除に着手しています（slashdot）。 たとえばlibssl/src/sslを見ると、CVSに罵倒と修正がひっきりなしに記録されています。 Heatbleed対策のパッチだけで満足しなかった理由は、彼らから見てHeartbleedが単なるバグや仕様の問題ではなく、セキュリティ意識の問題から産まれたものだからです。 何年も前から 「OpenSS... 続きを読む

OpenBSD から見て Heartbleed は氷山の一角に過ぎない | スラッシュドット・ジャパン Submission

2014/04/17 206 users OpenBSD libssl tamo Submission

tamo 曰く、 既にコメントしましたが、 OpenBSD が OpenSSL を大掃除しています (本家記事)。 libssl/src/ssl だけを見ても、CVS に罵倒と修正がひっきりなしに記録されています。 Heatbleed 対策のパッチだけで満足しなかった理由は、彼らから見て Heartbleed が単なるバグでも単なる仕様の問題でもなく、セキュリティ意識の問題だからです。 何年も前か... 続きを読む

OpenBSD から見て Heartbleed は氷山の一角に過ぎない | スラッシュドット・ジャパン Submission

2014/04/16 206 users OpenBSD libssl tamo Submission

tamo 曰く、 既にコメントしましたが、 OpenBSD が OpenSSL を大掃除しています (本家記事)。 libssl/src/ssl だけを見ても、CVS に罵倒と修正がひっきりなしに記録されています。 Heatbleed 対策のパッチだけで満足しなかった理由は、彼らから見て Heartbleed が単なるバグでも単なる仕様の問題でもなく、セキュリティ意識の問題だからです。 何年も前か... 続きを読む

三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみた - piyolog

2014/04/19 204 users piyolog 三菱UFJニコス インシデントまとめ 脆弱性

インシデントまとめ | 13:38 | 三菱UFJニコスのWebサイトが不正アクセスを受け、会員情報が不正に閲覧されたと発表しました。ここでは関連する情報をまとめます。 概要2014年4月11日に三菱UFJニコスが自社Webサイトで不正なアクセスを検知し、Webサイトを停止。その後詳細な調査結果として、4月18日に第3報を公開し、そこでOpenSSLの脆弱性(恐らくCVE-2014-0160)を悪... 続きを読む