【IT】OpenSSLにまた危険度の高い脆弱性、中間者攻撃につながる恐れ 修正版が公開 [6/6]
OpenSSLにまた危険度の高い脆弱性、中間者攻撃につながる恐れ、修正版が公開
(2014/6/6 14:02)
OpenSSL Projectは5日、オープンソースのSSL/TLSライブラリ「OpenSSL」に関する6件の
脆弱性情報を公表し、脆弱性を修正したバージョン(1.0.1h、1.0.0m、0.9.8za)を公開した。
中間者攻撃(MITM:Man-in-the-middle)により暗号通信の内容が第三者に読み取られたり、
内容が改ざんされたりする可能性のある、危険度の高い脆弱性の修正も含まれている。
中間者攻撃につながる恐れのある脆弱性(CVE-2014-0224)は、Change Cipher Spec(CCS)メッセージの
処理に関するもの。OpenSSLにはCCSプロトコルの実装に問題があり、鍵情報の交換の前に
CCSメッセージを受け取ると、空の鍵情報を使って暗号化鍵を生成してしまう。
この脆弱性を発見した株式会社レピダムの菊池正史氏によると、クライアントとサーバーが
ともにバグが存在するバージョンのOpenSSLを使用しており、サーバー側がバージョン1.0.1以降の
場合に、通信の盗聴・改ざんを行う攻撃が行われる恐れがある。サーバーだけがバグの
存在するバージョンの場合は、クライアントの偽装を行う攻撃が行われる恐れがあるという。
レピダムでは、この脆弱性の攻撃方法には十分な再現性があり、標的型攻撃などに利用される
可能性は非常に高いと考えられると警告している。...
ソース: Impress Watch http://cloud.watch.impress.co.jp/docs/news/20140606_652157.html
関連スレッド:
【IT】OpenSSL欠陥、スマホOSのアンドロイドにも 国内6機種に採用 [5/12]
http://peace.2ch.net/test/read.cgi/newsplus/1399910279/
(2014/6/6 14:02)
OpenSSL Projectは5日、オープンソースのSSL/TLSライブラリ「OpenSSL」に関する6件の
脆弱性情報を公表し、脆弱性を修正したバージョン(1.0.1h、1.0.0m、0.9.8za)を公開した。
中間者攻撃(MITM:Man-in-the-middle)により暗号通信の内容が第三者に読み取られたり、
内容が改ざんされたりする可能性のある、危険度の高い脆弱性の修正も含まれている。
中間者攻撃につながる恐れのある脆弱性(CVE-2014-0224)は、Change Cipher Spec(CCS)メッセージの
処理に関するもの。OpenSSLにはCCSプロトコルの実装に問題があり、鍵情報の交換の前に
CCSメッセージを受け取ると、空の鍵情報を使って暗号化鍵を生成してしまう。
この脆弱性を発見した株式会社レピダムの菊池正史氏によると、クライアントとサーバーが
ともにバグが存在するバージョンのOpenSSLを使用しており、サーバー側がバージョン1.0.1以降の
場合に、通信の盗聴・改ざんを行う攻撃が行われる恐れがある。サーバーだけがバグの
存在するバージョンの場合は、クライアントの偽装を行う攻撃が行われる恐れがあるという。
レピダムでは、この脆弱性の攻撃方法には十分な再現性があり、標的型攻撃などに利用される
可能性は非常に高いと考えられると警告している。...
ソース: Impress Watch http://cloud.watch.impress.co.jp/docs/news/20140606_652157.html
関連スレッド:
【IT】OpenSSL欠陥、スマホOSのアンドロイドにも 国内6機種に採用 [5/12]
http://peace.2ch.net/test/read.cgi/newsplus/1399910279/
|
|
|
2 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 15:28:29.68 ID:yPZ3F8zZ0
http://www.dotup.org/uploda/www.dotup.org5106370.jpg
http://www.dotup.org/uploda/www.dotup.org5107002.jpg
http://www.dotup.org/uploda/www.dotup.org5107002.jpg
3 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 15:29:19.72 ID:5X6UaLkh0
また問い合わせきちゃうじゃん面倒くさい。
4 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 15:31:53.25 ID:IkVXiqda0
クロネコとかカタログハウスとか、中間者攻撃(MITM:Man-in-the-middle)を放ったらかしにしてるサイトが多かった。
過去に遡っては大丈夫だと思うが、安全になるまで使いたくないなあ。
過去に遡っては大丈夫だと思うが、安全になるまで使いたくないなあ。
5 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 16:01:48.28 ID:LnUiR+sK0
修正版でてるならいいやん。
うちも機能UPDATE来てたy.
うちも機能UPDATE来てたy.
6 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 16:25:09.56 ID:k39Lyv6L0
close sslつくれよ
7 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 17:03:51.49 ID:Mfi+ff1B0
Oops
8 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 17:04:26.29 ID:IEd9laWs0
またおめーかよ!
9 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 17:14:47.96 ID:0Bekt5200
インターネットは信頼したもの負けと設計当時より決まっているんで。
10 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 17:21:31.44 ID:xQ/XN+k50
あ〜ぁ…またぁ
11 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 17:32:38.74 ID:Ssg4kxUx0
>>6
ドアに"Close"という札を掛けるのは止めてください!
ドアに"Close"という札を掛けるのは止めてください!
12 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 17:34:15.63 ID:q8uheT+40
LibreSSLはいつ完成?
13 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 17:37:33.14 ID:Y4kbsOYk0
で、sshは大丈夫なの?心配なので自宅のsshデーモン切った
14 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 18:22:45.11 ID:EbOuaKxG0
タダより高いものはない
15 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 18:25:16.34 ID:4dTarEPS0
もうオープンソースはダメだな
16 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 18:26:01.50 ID:lDYxshJK0
17 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 18:29:05.35 ID:b7e1pQUo0
>>15
お前はクローズドのwindowsにこの手のバグがなかったとでも思ってるのか?
お前はクローズドのwindowsにこの手のバグがなかったとでも思ってるのか?
18 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 18:31:38.99 ID:0Bekt5200
>>16
sshも前科持ちだから何ともw
sshも前科持ちだから何ともw
19 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 18:47:05.93 ID:hCCbRQ6x0
僕の肛門もセキュリティホールです><
20 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 20:18:51.12 ID:JuEKFKqv0
>>19
懐かしいフレーズだな
懐かしいフレーズだな
21 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 21:12:47.79 ID:MgnZAOjq0
さすがにもう大きなニュースには
ならないみたいだな
ならないみたいだな
22 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 21:30:27.33 ID:0Bekt5200
23 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 22:43:01.50 ID:8nhxnlSO0
heartbleedと比べたら危なさが薄いなあ
まあパッチ適用した方がいいのは間違いないんだけど。
まあパッチ適用した方がいいのは間違いないんだけど。
24 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 22:43:21.14 ID:b7e1pQUo0
25 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 22:51:21.46 ID:hwy1UESG0
対策を終えてから一般には報道して欲しいな
26 :名無しさん@0新周年@転載は禁止:2014/06/06(金) 22:54:00.25 ID:bbSVIN//0
ありゃ、0,9.8にも見つかったか。
うちsoftether使ってたんだよな。
hp見たらもううpでーと公開してた。
うちsoftether使ってたんだよな。
hp見たらもううpでーと公開してた。
27 :名無しさん@13周年@転載は禁止:2014/06/06(金) 23:39:45.12 ID:tuRiq0370
日本のネットワークは安全だからという意味不明な理由でMITM脆弱性って軽視されがちだよね
いまどき国内にしか接続しないなんてありえないのに
>>26
SoftEtherは使える暗号アルゴリズムがカスだからいくらopensslをアップデートしても
NSAのような本格的な盗聴を仕掛けられたら裸同然
いまどき国内にしか接続しないなんてありえないのに
>>26
SoftEtherは使える暗号アルゴリズムがカスだからいくらopensslをアップデートしても
NSAのような本格的な盗聴を仕掛けられたら裸同然
28 :名無しさん@0新周年@転載は禁止:2014/06/07(土) 01:40:16.02 ID:cIm00wk50
>>27
SoftEtherの件、逆にNSA絡みで強い暗号が使えないわけじゃないよね…。
SoftEtherの件、逆にNSA絡みで強い暗号が使えないわけじゃないよね…。
29 :名無しさん@0新周年@転載は禁止:2014/06/07(土) 14:13:07.15 ID:HcVhJ33M0
またか、
30 :名無しさん@0新周年@転載は禁止:2014/06/07(土) 16:54:50.68 ID:j1JdKAyk0
なにーついさっきオンラインバンクにアクセスしちゃったぞ
ヤバイかな
こう言うのに対応するの遅そうだもんなぁ日本の企業は
ヤバイかな
こう言うのに対応するの遅そうだもんなぁ日本の企業は
31 :名無しさん@0新周年@転載は禁止:2014/06/07(土) 16:57:51.27 ID:go8PsqFp0
だからっつって
クローズドソースが安全かと思ったら大間違い
Windowsはオープンソースでも何でもないのにやたらと攻撃されまくっている
これはなぜかね?オープンソースじゃないのに
クローズドソースが安全かと思ったら大間違い
Windowsはオープンソースでも何でもないのにやたらと攻撃されまくっている
これはなぜかね?オープンソースじゃないのに
32 :名無しさん@0新周年@転載は禁止:2014/06/07(土) 16:58:32.74 ID:kQ8hYA4z0
猿でも分かるように教えろ
33 :名無しさん@0新周年@転載は禁止:2014/06/07(土) 17:02:19.97 ID:KtNqLDsS0
Windowsは欠陥品
これを堂々売っているアメリカは賠償しろ
これを堂々売っているアメリカは賠償しろ
34 :名無しさん@0新周年@転載は禁止:2014/06/07(土) 17:11:55.02 ID:UCs+P/8W0
今回はCentOS5も対象?
35 :名無しさん@0新周年@転載は禁止:2014/06/07(土) 17:14:36.20 ID:hVNERSSS0
OpenSSLなんて使ってるのは情弱
36 :名無しさん@0新周年@転載は禁止:2014/06/07(土) 17:33:40.56 ID:Wu7aJ+Nc0
>>34
Centos5は何日か前にupdateきてたよ。
Centos5は何日か前にupdateきてたよ。
37 :名無しさん@0新周年@転載は禁止:2014/06/07(土) 17:36:20.03 ID:Wu7aJ+Nc0
38 :名無しさん@0新周年@転載は禁止:2014/06/07(土) 17:36:54.81 ID:SddxqLac0
>>34
対策版の0.9.8e-27.el5_10.3がリリースされている。
対策版の0.9.8e-27.el5_10.3がリリースされている。
39 :名無しさん@0新周年@転載は禁止:2014/06/08(日) 01:21:15.10 ID:rpSudL7M0
>>32
猿には関係ない
猿には関係ない
40 :名無しさん@0新周年@転載は禁止:2014/06/08(日) 01:30:24.62 ID:fknqroDV0
SSHで1万ビットぐらいの暗号カギを使いたいと思うこのごろだった。
41 :名無しさん@0新周年@転載は禁止:2014/06/08(日) 01:40:52.00 ID:iXsHb3tfi
また証明書作り直しかよ
42 :名無しさん@0新周年@転載は禁止:2014/06/08(日) 10:43:08.13 ID:fs2l0PkL0
OpenSSL使ってなくてよかた
43 :名無しさん@0新周年@転載は禁止:2014/06/08(日) 10:49:59.43 ID:QSHR7I1O0
最近通信状態がおかしいのはこのせいかなあ
44 :名無しさん@0新周年@転載は禁止:2014/06/08(日) 16:23:43.24 ID:MNclpgWk0
今回の脆弱性はクライアント、サーバーの両方が修正されていない場合に影響あるのか
クライアント側で修正していれば大丈夫だな
クライアント側で修正していれば大丈夫だな
45 :名無しさん@0新周年@転載は禁止:2014/06/08(日) 18:56:11.97 ID:Dfl2loNq0
厄介なのはAndroidか…?
46 :名無しさん@0新周年@転載は禁止:2014/06/08(日) 19:13:39.74 ID:KboIbu0a0
元からノーガードなんだからええやろ
47 :名無しさん@0新周年@転載は禁止:2014/06/08(日) 21:59:14.09 ID:Dfl2loNq0
Androidで銀行系アプリはダメダメってことかな…。
48 :名無しさん@0新周年@転載は禁止:2014/06/09(月) 05:16:27.35 ID:7cdxV2+40
この脆弱性はクライアントで使用されている全てのバージョンが対象だな
バージョンアップできない製品はサーバー側で対処しない限り、
この脆弱性を使用して盗聴され放題だな
バージョンアップできない製品はサーバー側で対処しない限り、
この脆弱性を使用して盗聴され放題だな
49 :名無しさん@0新周年@転載は禁止:2014/06/09(月) 13:59:02.74 ID:api8KTX20
本当に致命的な欠陥は、
公表すると大変なことになるので絶対に公表されません。
公表すると大変なことになるので絶対に公表されません。
50 :名無しさん@0新周年@転載は禁止:2014/06/09(月) 14:51:56.13 ID:AK6cVWMh0
天才ハッカーから見たら、オープンソースは脆弱性含め公表されているのと同じかも知れんな
51 :名無しさん@0新周年@転載は禁止:2014/06/09(月) 15:11:44.61 ID:vMk53Dex0
52 :名無しさん@0新周年@転載は禁止:2014/06/09(月) 15:26:13.66 ID:AK6cVWMh0
>>51
NSAに加担したのはニュースになったけど、OS(ソフト)そのものにバックドアは本当にあるのだろうか。
通信経路とかサービス(skype)とかそういうところで盗聴しているのは考えられるけど。
それはさておき、バックドアはあると思ったほうが良いね。
怖いのはNSAではなく、そのバックドアを発見し悪用する第三者。
ちなみに俺はここ3年、Linuxしか使っていない。
NSAに加担したのはニュースになったけど、OS(ソフト)そのものにバックドアは本当にあるのだろうか。
通信経路とかサービス(skype)とかそういうところで盗聴しているのは考えられるけど。
それはさておき、バックドアはあると思ったほうが良いね。
怖いのはNSAではなく、そのバックドアを発見し悪用する第三者。
ちなみに俺はここ3年、Linuxしか使っていない。
もうさ、辞めたら?
はっきり言ってこのプロジェクト自体もうその他のオープンソース陣営と同じく崩壊始まってるよ。
そんなものセキュリティ任せるとかアホすぎる。
はっきり言ってこのプロジェクト自体もうその他のオープンソース陣営と同じく崩壊始まってるよ。
そんなものセキュリティ任せるとかアホすぎる。