OpenSSLã®è„†å¼±æ€§CVE-2016-800(DROWN)ã‚„CVE-2016-0702(CacheBleed)ã«ã¤ã„ã¦ã¾ã¨ã‚ã¦ã¿ãŸ - piyolog
2016å¹´3月1æ—¥(ç¾åœ°æ™‚é–“)ã€OpenSSL プãƒã‚¸ã‚§ã‚¯ãƒˆã¯è„†å¼±æ€§ã®æ„›ç§°ã€ŒDROWNã€ã‚„「CacheBleedã€ã‚’å«ã‚€8件ã®è„†å¼±æ€§æƒ…å ±ã‚’å…¬é–‹ã—ã€ã“れら影響をå—ã‘ã‚‹ã‚‚ã®ã®ä¿®æ£ã‚’è¡Œã£ãŸæœ€æ–°ç‰ˆã‚’リリースã—ã¾ã—ãŸã€‚ã“ã“ã§ã¯é–¢é€£æƒ…å ±ã‚’ã¾ã¨ã‚ã¾ã™ã€‚ è„†å¼±æ€§æƒ…å ±æ¦‚è¦ æ³¨æ„å–šèµ· OpenSSL ã®è¤‡æ•°ã®è„†å¼±æ€§ã«é–¢ã™ã‚‹æ³¨æ„å–šèµ· - JPCERT/CC SSLv2 DROWN Attack - US-CERT OpenSSL Projectã®å…¬é–‹æƒ…å ± Forthcoming OpenSSL releases OpenSSL Security Advisory ï¼»1st March 2016ï¼½ OpenSSL version 1.0.1s published OpenSSL version 1.0.2g published An OpenSSL User’s Guide to DROWN 2016å¹´3月1日公
ç†è§£ã—ã¦ã‚‹ã¤ã‚‚ã‚Šã® SSL/TLS ã§ã‚‚ã€ã‚‚ã£ã¨ç†è§£ã—ãŸã‚‰é¢ç™½ã‹ã£ãŸè©± · ã‘ã‚“ã”ã®ãŠå±‹æ•·
apache ã‚„ nginx ã®è¨å®šã‚’ã—ãŸã“ã¨ãŒã‚ã‚Œã°ä»¥ä¸‹ã®æ§˜ãªè¡Œã‚’見ãŸã“ã¨ãŒã‚る人も多ã„ã®ã§ã¯ãªã„ã§ã—ょã†ã‹ã€‚(※ 下記㯠nginx ã®è¨å®šã€‚apache ã®å ´åˆã¯ SSLCipherSuite ã§ã™ã€‚) ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; ã“ã‚ŒãŒæš—å·ã‚¹ã‚¤ãƒ¼ãƒˆã‚’指定ã—ã¦ã„る箇所ã§ã™ã€‚ãã—ã¦ã“ã®éƒ¨åˆ†ã€ã‚ã‘ã®ã‚ã‹ã‚‰ãªã„æ–‡å—列ã®ç¾…列ãªã®ã§ã™ã”ãå–ã£ã¤ãã«ããã¦ä½•ã‚’指定ã—ãŸã‚‰ã„ã„ã‹ã‚ã‹ã‚‰ãªã„ã®ã§ã€ã‚³ãƒ”ペã—ã¦ã—ã¾ã†äººã‚‚多ã„ã‚“ã˜ã‚ƒãªã„ã§ã—ょã†ã‹ã€‚ã‹ãã„ã†ç§ã‚‚æ•°å¹´å‰ã«è¶£å‘³ã§ TLS 対応㮠Web サービスを作ã£ãŸæ™‚ã¯ã‚³ãƒ”ペã§æ¸ˆã¾ã›ã¦ã„ã¾ã—ãŸã€‚ã“ã®æš—å·ã‚¹ã‚¤ãƒ¼ãƒˆã¯ã€ä»¥ä¸‹ã®ã‚ˆã†ãª OpenSSL ã®ã‚³ãƒžãƒ³ãƒ‰ã‚’使ã£ã¦å¯¾å¿œã—ã¦ã„る一覧を見るã“ã¨ãŒã§ãã¾ã™ã€‚ $ openssl ciphers -v AES128-SH
OpenSSLã®è„†å¼±æ€§(CVE-2014-3511)ã§TLSプãƒãƒˆã‚³ãƒ«ã®åŸºç¤Žã‚’å¦ã¶ - ã¼ã¡ã¼ã¡æ—¥è¨˜
1. ã¯ã˜ã‚ã«ã€ 昨日 OpenSSLã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚¢ãƒƒãƒ—ãŒã‚¢ãƒŠã‚¦ãƒ³ã‚¹ã•ã‚Œã€ï¼™ã¤ã®è„†å¼±æ€§ãŒå…¬é–‹ã•ã‚Œã¾ã—ãŸã€‚ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚¢ãƒƒãƒ—ã®æ•°æ—¥å‰ã«OpenSSLã®æ¬¡æœŸãƒªãƒªãƒ¼ã‚¹äºˆå‘ŠãŒã‚¢ãƒŠã‚¦ãƒ³ã‚¹ã•ã‚Œã¦ã„ã¾ã—ãŸãŒã€ã¡ã‚‡ã†ã© BlackHat 開催åˆæ—¥ã«ã‚ãŸã‚‹ã“ã¨ã‚‚ã‚ã‚Šã€ãªã‚“ã‹ã¾ãŸé‡å¤§ãªè„†å¼±æ€§ã®ä¿®æ£ãŒå…¥ã‚‹ã‚“ã˜ã‚ƒãªã„ã‹ã¨ãƒ‰ã‚ドã‚ã—ã¦ã„ã¾ã—ãŸã€‚è“‹ã‚’é–‹ã‘ã¦ã¿ã‚‹ã¨HeatBleed程ã®å¤§äº‹ã§ã¯ãªãホットã²ã¨å®‰å¿ƒã§ã™ã€‚ 昨日公開ã•ã‚ŒãŸOpenSSLã®ï¼™ã¤ã®è„†å¼±æ€§ã®ã†ã¡ã€TLS プãƒãƒˆã‚³ãƒ«ãƒ€ã‚¦ãƒ³ã‚°ãƒ¬ãƒ¼ãƒ‰æ”»æ’ƒ (CVE-2014-3511)ã®ä¿®æ£ã‚’見ã¦ã„ãŸã¨ã“ã‚ã€ã“ã‚Œã¯TLSプãƒãƒˆã‚³ãƒ«ã‚’å¦ã¶ã„ã„é¡Œæã«ãªã‚‹ãªãã¨ãµã¨æ€ã„ã¤ãã€è©¦ã—ã«ã“ã®Opensslã®è„†å¼±æ€§ã®è©³ç´°ã‚’TLSプãƒãƒˆã‚³ãƒ«ã®åŸºç¤Žã«åˆã‚ã›ã¦æ›¸ã„ã¦ã¿ã¾ã—ãŸã€‚ ã¡ã‚‡ã£ã¨é•·ã„ã§ã™ãŒã€TLSプãƒãƒˆã‚³ãƒ«ã®ä»•çµ„ã¿ï¼ˆã®ä¸€éƒ¨ï¼‰ã‚’知りãŸã„æ–¹ã¯ãŠèªã¿ãã ã•ã„。 2. OpenSSLã®è„†å¼±æ€§
CCS Injection脆弱性(CVE-2014-0224)発見ã®çµŒç·¯ã«ã¤ã„ã¦ã®ç´¹ä»‹ - OpenSSL #ccsinjection Vulnerability
èŠæ± ã§ã™ã€‚CCS Injection脆弱性(CVE-2014-0224)発見ã®çµŒç·¯ã«ã¤ã„ã¦ç´¹ä»‹ã—ã¾ã™ã€‚ ãƒã‚°ã®ç°¡å˜ãªè§£èª¬ OpenSSLãŒãƒãƒ³ãƒ‰ã‚·ã‚§ãƒ¼ã‚¯ä¸ã«ä¸é©åˆ‡ãªçŠ¶æ…‹ã§ChangeCipherSpecã‚’å—ç†ã—ã¦ã—ã¾ã†ã®ãŒä»Šå›žã®ãƒã‚°ã§ã™ã€‚ ã“ã®ãƒã‚°ã¯OpenSSLã®æœ€åˆã®ãƒªãƒªãƒ¼ã‚¹ã‹ã‚‰å˜åœ¨ã—ã¦ã„ã¾ã—ãŸã€‚ 通常ã®ãƒãƒ³ãƒ‰ã‚·ã‚§ãƒ¼ã‚¯ã§ã¯ã€å³ã®å›³ã®ã‚ˆã†ãªé †åºã§ãƒ¡ãƒƒã‚»ãƒ¼ã‚¸ã‚’交æ›ã—ã¾ã™(RFC5246 The Transport Layer Security (TLS) Protocol Version 1.2 §7.3より作æˆ)。 ChangeCipherSpecã¯å¿…ãšã“ã®ä½ç½®ã§è¡Œã†ã“ã¨ã«ãªã£ã¦ã„ã¾ã™ã€‚OpenSSLã‚‚ChangeCipherSpecã‚’ã“ã®ã‚¿ã‚¤ãƒŸãƒ³ã‚°ã§é€ä¿¡ã—ã¾ã™ãŒã€å—ä¿¡ã¯ä»–ã®ã‚¿ã‚¤ãƒŸãƒ³ã‚°ã§ã‚‚è¡Œã†ã‚ˆã†ã«ãªã£ã¦ã„ã¾ã—ãŸã€‚ã“れを悪用ã™ã‚‹ã“ã¨ã§ã€æ”»æ’ƒè€…ãŒé€šä¿¡ã‚’解èªãƒ»æ”¹ã–ã‚“å¯èƒ½ã§ã™ã€‚ 発見ã®å›°é›£ã•
1
ランã‚ング
ランã‚ング
障害
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
OpenSSL Security Advisory [3rd May 2016]
{{#tags}}- {{label}}
{{/tags}}