三è±UFJニコスãŒOpenSSLã®è„†å¼±æ€§ã‚’çªã‹ã‚Œã¦ä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ã‚’å—ã‘ãŸä»¶ã‚’ã¾ã¨ã‚ã¦ã¿ãŸ - piyolog
三è±UFJニコスã®WebサイトãŒä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ã‚’å—ã‘ã€ä¼šå“¡æƒ…å ±ãŒä¸æ£ã«é–²è¦§ã•ã‚ŒãŸã¨ç™ºè¡¨ã—ã¾ã—ãŸã€‚ã“ã“ã§ã¯é–¢é€£ã™ã‚‹æƒ…å ±ã‚’ã¾ã¨ã‚ã¾ã™ã€‚ æ¦‚è¦ 2014å¹´4月11æ—¥ã«ä¸‰è±UFJニコスãŒè‡ªç¤¾Webサイトã§ä¸æ£ãªã‚¢ã‚¯ã‚»ã‚¹ã‚’検知ã—ã€Webサイトをåœæ¢ã€‚ãã®å¾Œè©³ç´°ãªèª¿æŸ»çµæžœã¨ã—ã¦ã€4月18æ—¥ã«ç¬¬3å ±ã‚’å…¬é–‹ã—ã€ãã“ã§OpenSSLã®è„†å¼±æ€§(æらãCVE-2014-0160)を悪用ã—ãŸä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ã§ã‚ã£ãŸã“ã¨ã‚’å ±å‘Šã€‚ 三è±UFJニコスã®ä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ã«é–¢é€£ã—ãŸç™ºè¡¨ 2014/4/11 弊社Webサイトã¸ã®ä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ã«ã¤ã„ã¦(PDF) 2014/4/12 ä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ã«ä¼´ã„åœæ¢ã•ã›ã¦ã„ãŸã ã„ãŸå¼Šç¤¾Webサービスå†é–‹ã®ãŠçŸ¥ã‚‰ã›ã¨ä¼šå“¡æ§˜ã¸ã®ãŠé¡˜ã„(PDF) 2014/4/18 弊社会員専用WEBサービスã¸ã®ä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ã«ã‚ˆã‚Šä¸€éƒ¨ã®ãŠå®¢ã•ã¾æƒ…å ±ãŒä¸æ£é–²è¦§ã•ã‚ŒãŸä»¶(PDF) (1) è¢«å®³çŠ¶æ³ ä¸æ£é–²è¦§ä¼šå“¡æ•° 894å(
OpenSSLã®è„†å¼±æ€§ï¼ˆCVE-2014-0160)関連ã®æƒ…å ±ã‚’ã¾ã¨ã‚ã¦ã¿ãŸ - piyolog
HeartBleed(CVE-2014-0160)関係ã®ãƒªãƒ³ã‚¯é›†ã€è‡ªåˆ†ã®ãƒ¡ãƒ¢ç”¨ãªã®ã§ä¸æ£ç¢ºã§ã™ã€‚ HeartBleedã®å½±éŸ¿å¯¾è±¡ã¨ãªã‚‹OpenSSLãƒãƒ¼ã‚¸ãƒ§ãƒ³ 以下ã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³ãŒå½±éŸ¿ã‚’å—ã‘ã¾ã™ã€‚但ã—ã€ã‚·ã‚¹ãƒ†ãƒ ã«ã‚ˆã£ã¦ã¯åŽŸå› ã¨ãªã£ã¦ã„ã‚‹heartbeat機能ãŒç„¡åŠ¹åŒ–ã•ã‚Œã¦ã„ã‚‹å ´åˆã‚‚ã‚ã‚‹ãŸã‚ã€ãƒãƒ¼ã‚¸ãƒ§ãƒ³ãŒä¸€è‡´ã—ãŸã ã‘ã§å½“該脆弱性ã®å½±éŸ¿ã‚’å—ã‘ã‚‹ã‹ã¯ç¢ºå®šã—ã¾ã›ã‚“。 (1) OpenSSL 1.0.1ç³» ãƒãƒ¼ã‚¸ãƒ§ãƒ³å リリース時期 CVE-2014-0160 OpenSSL 1.0.1 2012/03/14 脆弱性ã‚ã‚Š OpenSSL 1.0.1a 2012/04/19 脆弱性ã‚ã‚Š OpenSSL 1.0.1b 2012/04/26 脆弱性ã‚ã‚Š OpenSSL 1.0.1c 2012/05/10 脆弱性ã‚ã‚Š OpenSSL 1.0.1d 2013/02/05 脆弱性ã‚ã‚Š OpenSSL 1.0.1e
利用者ã¨ã—ã¦ç§ãŒå®Ÿè·µã—ã¦ã‚‹HeartBleed脆弱性対ç–ã‚’ã”紹介 リストã¨ChromeBleed & SSL Server Testã§ãƒã‚§ãƒƒã‚¯ï¼
TOP Security 利用者ã¨ã—ã¦ç§ãŒå®Ÿè·µã—ã¦ã‚‹HeartBleed脆弱性対ç–ã‚’ã”紹介 リストã¨ChromeBleed & SSL Server Testã§ãƒã‚§ãƒƒã‚¯ï¼ 本ブãƒã‚°ã§ã‚‚紹介ã—ã¦ã„ã¾ã™ãŒã€OpenSSLã¨ã„ã†Webサーãƒå´ã§ä½¿ç”¨ã•ã‚Œã‚‹ã‚ªãƒ¼ãƒ—ンソースã®SSLï¼TLS実装ライブラリã«éžå¸¸ã«å±é™ºãªè„†å¼±æ€§ãŒç™ºè¦‹ã•ã‚Œã¾ã—ãŸã€‚ OpenSSLã®è„†å¼±æ€§ã€ŒHeartbleed Bugã€ã‚’ãƒã‚§ãƒƒã‚¯ã™ã‚‹ã‚µã‚¤ãƒˆ : I believe in technology オープンソースã®SSLï¼TLS実装ライブラリ「OpenSSLã€ã«æ·±åˆ»ãªè„†å¼±æ€§ãŒè¦‹ã¤ã‹ã‚Šã€ä»Šæœã‹ã‚‰å¤§ããªè©±é¡Œã¨ãªã£ã¦ã„ã¾ã™ã€‚ ã¨ã„ã£ã¦ã‚‚ã€ã‚µãƒ¼ãƒç®¡ç†è€…ã§ã‚‚ã‚»ã‚ュリティエンジニアã§ã‚‚ãªã„æ–¹ã«ã¨ã£ã¦ã¯ã€ã“ã®è„†å¼±æ€§ãŒæ„味ã™ã‚‹ã¨ã“ã‚ã‚’ç†è§£ã™ã‚‹ã®ã¯ãªã‹ãªã‹é›£ã—ã„ã®ã§ã¯ãªã„ã‹ã¨æ€ã„ã¾ã™ã€‚ ãã“ã§ä»Šå›žã¯ã€ã“ã®è„†å¼±æ€§ãŒä¸€èˆ¬çš„ãªã‚¤ãƒ³ã‚¿ãƒ¼ãƒãƒƒãƒˆåˆ©ç”¨è€…ã«ä¸Žãˆã‚‹å½±
OpenSSL (1.0.1~1.0.1fãŠã‚ˆã³1.0.2-betaシリーズ)ã«å«ã¾ã‚Œã‚‹è„†å¼±æ€§ã«é–¢ã™ã‚‹é‡è¦ãªãŠçŸ¥ã‚‰ã›ã€ã‚»ã‚³ãƒ 】
å¹³ç´ ã¯ã€ã‚»ã‚³ãƒ パスãƒãƒ¼ãƒˆfor Webシリーズをã”利用ã„ãŸã ãèª ã«ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ã€‚ 掲題ã®ä»¶ã«ã¤ãã¾ã—ã¦ã€å¼Šç¤¾SSLサーãƒè¨¼æ˜Žæ›¸ã”利用時ã«é‡å¤§ãªå½±éŸ¿ãŒç”Ÿã˜ã‚‹æã‚ŒãŒã”ã–ã„ã¾ã™ã®ã§ã€ä»¥ä¸‹ã®å†…容をã”確èªã„ãŸã ãã€å¯¾ç–を実施ã„ãŸã ãã¾ã™ã‚ˆã†ã€ã‚ˆã‚ã—ããŠé¡˜ã„申ã—上ã’ã¾ã™ã€‚ 1.内容 OpenSSL※1ã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³1.0.1~1.0.1fãŠã‚ˆã³1.0.2-betaシリーズã«é‡å¤§ãªè„†å¼±æ€§ãŒç™ºè¦‹ã•ã‚Œã¾ã—ãŸã€‚Webサーãƒã«ãŠã„ã¦è©²å½“ã™ã‚‹ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚’使用ã—ã¦ã„ã‚‹å ´åˆã€OpenSSL ã® heartbeat æ‹¡å¼µã®å®Ÿè£…ã«ã¯ã€æƒ…å ±æ¼ãˆã„ã®è„†å¼±æ€§ãŒå˜åœ¨ã—ã¾ã™ã€‚TLS ã‚„ DTLS 通信ã«ãŠã„㦠OpenSSL ã®ã‚³ãƒ¼ãƒ‰ã‚’実行ã—ã¦ã„るプãƒã‚»ã‚¹ã®ãƒ¡ãƒ¢ãƒªå†…容ãŒé€šä¿¡ç›¸æ‰‹ã«æ¼ãˆã„ã™ã‚‹æã‚ŒãŒã‚ã‚Šã¾ã™ã€‚(CSR生æˆæ™‚ã¯æœ¬è„†å¼±æ€§ã®å¯¾è±¡ã§ã‚ã‚Šã¾ã›ã‚“) ※1 OpenSSL:開発ã—ãŸã‚½ãƒ•ãƒˆã‚¦ã‚§ã‚¢ã«SSL/TLSã«ã‚ˆã‚‹æš—å·é€šä¿¡æ©Ÿèƒ½
OpenSSLã®è„†å¼±æ€§ã«ã”注æ„ãã ã•ã„
アプリケーションã¨ã‚µãƒ¼ãƒ“ス ã•ãらã®ã‚¯ãƒ©ã‚¦ãƒ‰ã¨ä½µã›ã¦åˆ©ç”¨ã§ãる様々ãªã‚¢ãƒ—リケーションやサービスã§ã™ã€‚
1
ランã‚ング
ランã‚ング
ランã‚ング
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
canon-its.jp [ ESET ]
{{#tags}}- {{label}}
{{/tags}}