OpenSSL warns of critical security vulnerability with upcoming patch
So we should all be concerned that Mark Cox, a Red Hat Distinguished Software Engineer and the Apache Software Foundation (ASF)'s VP of Security, this week tweeted, "OpenSSL 3.0.7 update to fix Critical CVE out next Tuesday 1300-1700UTC." How bad is "Critical"? According to OpenSSL, an issue of critical severity affects common configurations and is also likely exploitable. It's likely to be abused
OpenSSL command line Root and Intermediate CA including OCSP, CRL and revocation - Raymii.org
OpenSSL command line Root and Intermediate CA including OCSP, CRL and revocation Published: 03-03-2015 | Last update: 17-12-2018 | Author: Remy van Elst | Text only version of this article â— This post is over four years old. It may no longer be up to date. Opinions may have changed. These are quick and dirty notes on generating a certificate authority (CA), intermediate certificate authorities and
sslscanã§ã‚µãƒ¼ãƒã®SSL/TLS状態を簡å˜ã«ãƒã‚§ãƒƒã‚¯ã™ã‚‹ - ã‚ã°é›»åãŒè©°ã¾ã¤ã¦ã‚ã‚‹
最近ã¯SSL/TLSã®ã‚»ã‚ュリティå•é¡ŒãŒå¤šç™ºã—ã¦ã„ã‚‹ãŸã‚ã€è‡ªåˆ†ã§é‹ç”¨ã—ã¦ã„るサーãƒã®SSL/TLSã®è¨å®šã‚’テストã—ãŸã„ã¨ã„ã†äººã¯å¤šã„ã¨æ€ã„ã¾ã™ã€‚ SSL/TLSã®çŠ¶æ…‹ã‚’ãƒã‚§ãƒƒã‚¯ã™ã‚‹ã«ã¯ã€Qualys SSL Labsã®SSL Server TestãŒã‚ˆã使ã‚ã‚Œã¾ã™ã€‚ã—ã‹ã—ã“ã‚Œã¯å¤–部ã‹ã‚‰ç¬¬ä¸‰è€…ã«ã‚¹ã‚ャンã•ã›ã‚‹ã‚ã‘ã§ã™ã‹ã‚‰ã€(心ç†çš„・社内政治的ãª)æ•·å±…ãŒé«˜ã„ã¨ã„ã†ç‚¹ã‚‚ã‚ã‚Šã¾ã™ã—ã€ãã‚‚ãもインターãƒãƒƒãƒˆå´ã‹ã‚‰ç›´æŽ¥æŽ¥ç¶šã§ããªã„環境ã®ãƒ†ã‚¹ãƒˆãŒè¡Œãˆã¾ã›ã‚“。 ãã“ã§ã€IPアドレスを指定ã™ã‚‹ã ã‘ã§ã‚ˆã‚ã—ã対象ã®SSL/TLSサーãƒã®çŠ¶æ…‹ã‚’ãƒã‚§ãƒƒã‚¯ã—ã¦ãれるツールãŒã‚ã‚‹ã¨ä¾¿åˆ©ã ãªã€ã¨ã„ã†ã“ã¨ã«ãªã‚Šã¾ã™ã€‚本稿ã§ã¯ã€ã“ã®ã‚ˆã†ãªç›®çš„ã«åˆ©ç”¨ã•ã‚Œã‚‹sslscanã¨ã„ã†ã‚³ãƒžãƒ³ãƒ‰ã‚’紹介ã—ã¾ã™ã€‚ sslscanã¯Linuxã§å‹•ä½œã—ã€ãƒšãƒãƒˆãƒ¬ãƒ¼ã‚·ãƒ§ãƒ³ãƒ†ã‚¹ãƒˆç”¨ã«ä½¿ã‚れるKali Linuxã«ã‚‚インストールã•ã‚Œã¦ã„ã‚‹ãŠæ‰‹è»½ãªSS
FREAK ã«ã¤ã„ã¦ã¾ã¨ã‚ã¦ã¿ãŸ - piyolog
輸出グレードã®RSAæš—å·ã‚’サãƒãƒ¼ãƒˆã—ã¦ã„ãŸã“ã¨ã«èµ·å› ã™ã‚‹è„†å¼±æ€§FREAKã«é–¢ã™ã‚‹æƒ…å ±ã«ã¤ã„ã¦é–¢é€£æƒ…å ±ã‚’ã¾ã¨ã‚ã¾ã™ã€‚ è„†å¼±æ€§æ¦‚è¦ è„†å¼±æ€§ã®æ¦‚è¦æƒ…å ±ã¯æ¬¡ã®é€šã‚Šã€‚ 愛称 FREAK (Factoring attack on RSA-EXPORT Keysã®ç•¥) 輸出グレード暗å·ã®å¼·åˆ¶ä½¿ç”¨ã«é–¢ã™ã‚‹å‘¼ç§° アイコン ç„¡ã— CVE OpenSSL:CVE-2015-0204 Apple:CVE-2015-1067 Microsoft:CVE-2015-1637 発見者å miTLS Inria(ãƒ•ãƒ©ãƒ³ã‚¹å›½ç«‹æƒ…å ±å¦è‡ªå‹•åˆ¶å¾¡ç ”究所)ã¨Microsoft Researchã®åˆåŒãƒãƒ¼ãƒ FREAK Attackã®æ¦‚è¦ ä¸é–“者攻撃ãŒè¡Œã‚れるã¾ã§ã®FREAK Attackã®æµã‚Œã¯æ¬¡ã®é€šã‚Šã€‚(3月6日更新) MITMã®æ”»æ’ƒæˆç«‹æ¡ä»¶ 以下ã®æ¡ä»¶ãŒæˆç«‹ã™ã‚‹å ´åˆã€é€šä¿¡å†…容ã®ç›—è´ã‚„改ã–ã‚“ã®å½±éŸ¿ã‚’å—ã‘ã‚‹å¯èƒ½æ€§ãŒã‚る。 接続元・
OpenSSLã®è„†å¼±æ€§(CVE-2014-3511)ã§TLSプãƒãƒˆã‚³ãƒ«ã®åŸºç¤Žã‚’å¦ã¶ - ã¼ã¡ã¼ã¡æ—¥è¨˜
1. ã¯ã˜ã‚ã«ã€ 昨日 OpenSSLã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚¢ãƒƒãƒ—ãŒã‚¢ãƒŠã‚¦ãƒ³ã‚¹ã•ã‚Œã€ï¼™ã¤ã®è„†å¼±æ€§ãŒå…¬é–‹ã•ã‚Œã¾ã—ãŸã€‚ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚¢ãƒƒãƒ—ã®æ•°æ—¥å‰ã«OpenSSLã®æ¬¡æœŸãƒªãƒªãƒ¼ã‚¹äºˆå‘ŠãŒã‚¢ãƒŠã‚¦ãƒ³ã‚¹ã•ã‚Œã¦ã„ã¾ã—ãŸãŒã€ã¡ã‚‡ã†ã© BlackHat 開催åˆæ—¥ã«ã‚ãŸã‚‹ã“ã¨ã‚‚ã‚ã‚Šã€ãªã‚“ã‹ã¾ãŸé‡å¤§ãªè„†å¼±æ€§ã®ä¿®æ£ãŒå…¥ã‚‹ã‚“ã˜ã‚ƒãªã„ã‹ã¨ãƒ‰ã‚ドã‚ã—ã¦ã„ã¾ã—ãŸã€‚è“‹ã‚’é–‹ã‘ã¦ã¿ã‚‹ã¨HeatBleed程ã®å¤§äº‹ã§ã¯ãªãホットã²ã¨å®‰å¿ƒã§ã™ã€‚ 昨日公開ã•ã‚ŒãŸOpenSSLã®ï¼™ã¤ã®è„†å¼±æ€§ã®ã†ã¡ã€TLS プãƒãƒˆã‚³ãƒ«ãƒ€ã‚¦ãƒ³ã‚°ãƒ¬ãƒ¼ãƒ‰æ”»æ’ƒ (CVE-2014-3511)ã®ä¿®æ£ã‚’見ã¦ã„ãŸã¨ã“ã‚ã€ã“ã‚Œã¯TLSプãƒãƒˆã‚³ãƒ«ã‚’å¦ã¶ã„ã„é¡Œæã«ãªã‚‹ãªãã¨ãµã¨æ€ã„ã¤ãã€è©¦ã—ã«ã“ã®Opensslã®è„†å¼±æ€§ã®è©³ç´°ã‚’TLSプãƒãƒˆã‚³ãƒ«ã®åŸºç¤Žã«åˆã‚ã›ã¦æ›¸ã„ã¦ã¿ã¾ã—ãŸã€‚ ã¡ã‚‡ã£ã¨é•·ã„ã§ã™ãŒã€TLSプãƒãƒˆã‚³ãƒ«ã®ä»•çµ„ã¿ï¼ˆã®ä¸€éƒ¨ï¼‰ã‚’知りãŸã„æ–¹ã¯ãŠèªã¿ãã ã•ã„。 2. OpenSSLã®è„†å¼±æ€§
OpenSSL #ccsinjection Vulnerability
[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability æ¦‚è¦ OpenSSLã®ChangeCipherSpecメッセージã®å‡¦ç†ã«æ¬ 陥ãŒç™ºè¦‹ã•ã‚Œã¾ã—ãŸã€‚ ã“ã®è„†å¼±æ€§ã‚’悪用ã•ã‚ŒãŸå ´åˆã€æš—å·é€šä¿¡ã®æƒ…å ±ãŒæ¼ãˆã„ã™ã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚ サーãƒã¨ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆã®ä¸¡æ–¹ã«å½±éŸ¿ãŒã‚ã‚Šã€è¿…速ãªå¯¾å¿œãŒæ±‚ã‚られã¾ã™ã€‚ 攻撃方法ã«ã¯å……分ãªå†ç¾æ€§ãŒã‚ã‚Šã€æ¨™çš„型攻撃ç‰ã«åˆ©ç”¨ã•ã‚Œã‚‹å¯èƒ½æ€§ã¯éžå¸¸ã«é«˜ã„ã¨è€ƒãˆã¾ã™ã€‚ å¯¾ç– å„ベンダã‹ã‚‰æ›´æ–°ãŒãƒªãƒªãƒ¼ã‚¹ã•ã‚Œã‚‹ã¨æ€ã‚れるã®ã§ã€ãれをインストールã™ã‚‹ã“ã¨ã§å¯¾ç–ã§ãã¾ã™ã€‚ (éšæ™‚更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI åŽŸå› OpenSSLã®ChangeCipherSpecメッセージã®å‡¦ç†ã«ç™ºè¦‹
我々ã¯ã©ã®ã‚ˆã†ã«ã—ã¦å®‰å…¨ãªHTTPS通信をæä¾›ã™ã‚Œã°è‰¯ã„ã‹ - Qiita
Modern Ciphersuite: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES1
Wiresharkã§SSL通信ã®ä¸èº«ã‚’覗ã„ã¦ã¿ã‚‹ - ã‚ã°é›»åãŒè©°ã¾ã¤ã¦ã‚ã‚‹
OpenSSLã®è„†å¼±æ€§ã€ŒHeartbleedã€ãŒä¸–間を賑ã‚ã›ã¦ã„ã¾ã™ãŒã€è‰²ã€…ã¨ä¹—ã‚Šé…ã‚Œã¦ã—ã¾ã£ãŸæ„ŸãŒã‚ã‚‹ã®ã§ã€ã‚†ã‚‹ã‚†ã‚‹ã¨è½ã¡ç©‚拾ã„ã‚’ã—よã†ã‹ã¨æ€ã„ã¾ã™ã€‚ Heartbleedã§ç§˜å¯†éµã‚’手ã«å…¥ã‚ŒãŸã‚‰SSL通信ã®ä¸èº«å…¨éƒ¨è¦‹ãˆã¡ã‚ƒã†ã˜ã‚ƒã‚“!! ã¨ã„ã†äº‹æ…‹ã«ãªã£ã¦ã„ã¾ã™ãŒã€ãªã‚“ã¨ãªãç†è«–çš„ã«ãã†ã ã‚ã†ãªã¨åˆ†ã‹ã‚‹ã‚‚ã®ã®ã‚¤ãƒžã‚¤ãƒå…·ä½“çš„ãªæ‰‹é †ãŒåˆ†ã‹ã‚‰ãªã„。 ã¨ã„ã†ã‚ã‘ã§ä»Šå›žã®ãƒ†ãƒ¼ãƒžã¨ã—ã¦ã€æ‰‹å…ƒã«ã‚µãƒ¼ãƒã®ç§˜å¯†éµã¨ã€SSL通信をパケットã‚ャプãƒãƒ£ã—ãŸpcapファイルãŒã‚ã‚‹ã¨ãã«ã€Wiresharkã§ã©ã‚“ãªæ„Ÿã˜ã§SSL通信を「ã»ã©ãã€ã®ã‹â€¦â€¦ã¨ã„ã†å…·ä½“çš„ãªæ‰‹é †ã‚’ã€ãƒãƒžã‚Šæ‰€ã‚’å«ã‚ã¦ã¾ã¨ã‚ã¦ãŠã“ã†ã‹ã¨æ€ã„ã¾ã™ã€‚ ã¨ã„ã†ã‹ã€ç§è‡ªèº«ãŒãƒãƒžã£ãŸã®ã§è‡ªåˆ†ç”¨ãƒ¡ãƒ¢ã§ã™ãªã€‚ãªãŠã“ã®æ–‡æ›¸ã§ã¯"SSL"ã¨ã ã‘記述ã—ã€TLSã¯ç„¡è¦–ã—ã¦ã„ã¾ã™ã€‚ å‰ææ¡ä»¶ ã¨ã‚Šã‚ãˆãšä»¥ä¸‹ã®ã‚ˆã†ãªæ„Ÿã˜ã®æ¤œè¨¼ç’°å¢ƒã§è©¦ã—ã¾ã—ãŸã€‚ IPアドレス 説明 ホストO
CVE-2014-0160 OpenSSL Heartbleed 脆弱性ã¾ã¨ã‚ - ã‚ã‚‚ãŠãã°
å¿…è¦ãªæƒ…å ±ã¯ http://heartbleed.com/ ã«ã¾ã¨ã¾ã£ã¦ã„ã‚‹ã®ã§ã™ãŒã€è‹±èªžã ã—é•·ã„ã—ã£ã¦äººã®ãŸã‚ã«æ‰‹çŸã«ã¾ã¨ã‚ã¦ãŠãã¾ã™ã€‚ ã©ã†ã™ã‚Œã°ã„ã„ã®ã‹ OpenSSL 1.0.1〜1.0.1fを使ã£ã¦ã„ãªã‘ã‚Œã°ã‚»ãƒ¼ãƒ• ã‚ã¦ã¯ã¾ã‚‹å ´åˆã«ã¯ã€ä¸€åˆ»ã‚‚æ—©ããƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚¢ãƒƒãƒ—ã—ã¦ã€ã‚µãƒ¼ãƒã”ã¨å†èµ·å‹•(ã‚ã‹ã‚‹ã²ã¨ã¯ã‚µãƒ¼ãƒ“スå˜ä½ã§ã‚‚OKã€ãŸã ã—reloadã§ã¯ã ã‚ãªã“ã¨ã‚‚) SSL証明書ã§ã‚µãƒ¼ãƒã‚’公開ã—ã¦ã„ã‚‹ãªã‚‰ã€ç§˜å¯†éµã‹ã‚‰ä½œã‚Šç›´ã—ã¦è¨¼æ˜Žæ›¸ã‚’å†ç™ºè¡Œã—ã€éŽåŽ»ã®è¨¼æ˜Žæ›¸ã‚’失効ã•ã›ã‚‹(末尾ã«é–¢é€£ãƒªãƒ³ã‚¯ã‚ã‚Š)。 サーãƒã‚’公開ã—ã¦ã„ãªã„å ´åˆã‚‚ã€å¤–部ã¸ã®SSL通信ãŒã‚ã‚Œã°å½±éŸ¿ã‚’å—ã‘ã‚‹ã®ã§ã€è©³ã—ã精査ã™ã‚‹ã€‚ PFS(perfect forward secrecy)を利用ã—ã¦ã„ãªã„å ´åˆã€éŽåŽ»ã®é€šä¿¡å†…容も復å·ã•ã‚Œã‚‹å¯èƒ½æ€§ãŒã‚ã‚‹ãŸã‚ã€è©³ã—ã精査ã™ã‚‹ã€‚ æ¼æ´©ã™ã‚‹æƒ…å ±ã®å…·ä½“例ã¯ã€OpenSSLã®è„†å¼±æ€§ã§æƒ³å®šã•ã‚Œã‚‹ãƒªã‚¹ã‚¯ã¨ã—ã¦
オレオレ証明書をopensslã§ä½œã‚‹ï¼ˆè©³ç´°ç‰ˆï¼‰ - ã‚ã°é›»åãŒè©°ã¾ã¤ã¦ã‚ã‚‹
å‰å›žã®opensslã§RSAæš—å·ã¨éŠã¶ã§RSAæš—å·ã‚„秘密éµã«ã¤ã„ã¦ä¸èº«ã‚’色々ã¨ã„ã˜ã£ã¦ã¿ãŸã€‚続ã„ã¦ä»Šå›žã¯ã€Apacheã§ä½¿ã†ã‚ªãƒ¬ã‚ªãƒ¬è¨¼æ˜Žæ›¸ã‚’作ã£ã¦ã¿ã‚‹ã€‚ ç´°ã‹ã„ã“ã¨ã¯ã„ã„ã‹ã‚‰ã€ã‚ªãƒ¬ã‚ªãƒ¬è¨¼æ˜Žæ›¸ã‚’作るコマンドã ã‘知りãŸã„ ãŠæ€¥ãŽã®æ–¹ã¯ã€ä»¥ä¸‹3ã¤ã ã‘ã‚„ã‚Œã°è‰¯ã„。ã“ã‚Œã§10å¹´é–“(3650æ—¥)有効ãªã‚ªãƒ¬ã‚ªãƒ¬è¨¼æ˜Žæ›¸ãŒã§ãã‚ãŒã‚‹ã€‚ $ openssl genrsa 2048 > server.key $ openssl req -new -key server.key > server.csr $ openssl x509 -days 3650 -req -signkey server.key < server.csr > server.crtã§ãã‚ãŒã£ãŸserver.crtã¨server.keyã‚’ã€ä¾‹ãˆã°/etc/httpd/conf/ é…下ã®ssl.crt/ 㨠ssl.key/ ディレクトリã«è¨ç½®
SSL証明書を更新ã™ã‚‹ã¨ãã«ãƒã‚§ãƒƒã‚¯ã«å½¹ç«‹ã¤ã‚³ãƒžãƒ³ãƒ‰ã¾ã¨ã‚ | ウェブインパクトエンジニア IT番長ブãƒã‚°
ã™ã£ã‹ã‚Šç§‹ã‚ã„ã¦ãã¦ã€ã”飯ãŒç¾Žå‘³ã—ã„å£ç¯€ã«ãªã‚Šã¾ã—ãŸãã€shige ã§ã”ã–ã„ã¾ã™ã€‚ ã•ã¦ã€ä»Šå›žã¯SSL証明書を更新ã™ã‚‹ã¨ãã«ãƒã‚§ãƒƒã‚¯ã«å½¹ç«‹ã¤ã‚³ãƒžãƒ³ãƒ‰ã‚’ã¾ã¨ã‚ã¦ã¿ã¾ã—ãŸã€‚ ã“ã®æ‰‹é †ã«æ²¿ã£ã¦ã€ã‚µãƒ¼ãƒãƒ¼ã«æ–°ã—ã„SSL証明書を置ãæ›ãˆã‚Œã°ã€ãã£ã¨è¨¼æ˜Žæ›¸ã¨ç§˜å¯†éµã®ä¸æ•´åˆã§ Apache ãŒèµ·å‹•ã—ãªã„ãªã‚“ã¦ãƒˆãƒ©ãƒ–ルも逃れられるã¯ãšï¼ 1. 秘密éµã¨CSRã®ä½œæˆ ã¾ãšã€ãŠé¦´æŸ“ã¿ã® openssl コマンドã§ã‚µã‚¯ãƒƒã¨ç§˜å¯†éµã¨CSRを作æˆã—ã¾ã™ã€‚ $ openssl req -new -newkey rsa:2048 -nodes -keyout www.webimpact.co.jp.key -out www.webimpact.co.jp.csr 2. èªè¨¼å±€ã¸æ出 次ã«ã€ã„ã¤ã‚‚ãŠä¸–話ã«ãªã£ã¦ã„ã‚‹èªè¨¼å±€ã«CSRã‚’æ出ã—ã¾ã—ょã†ã€‚ 3. サーãƒãƒ¼ã«è¨¼æ˜Žæ›¸ã¨ç§˜å¯†éµã‚’è¨ç½® èªè¨¼å±€ã‹ã‚‰è¨¼æ˜Žæ›¸ã‚’発行ã—ã¦ã‚‚らãˆãŸã‚‰
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}