印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます さまざまなメディアで既報の通り 、オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に重大な脆弱性が発見されました。これはSSL/TLSの暗号化によって保護されている情報が、特殊な環境下でなくても盗まれてしまう可能性がある脆弱性です。 この脆弱性は、本ライブラリのTLS 1.2に追加された拡張機能「Heartbeat」と呼ばれる「SSLの死活を監視する機能」の不備に起因することから、そしてもしかするとその重大さからか「Heartbleed(心臓出血)」と呼ばれるようになりました。 今回は、このHeartbleed脆弱性に関する問題をいったん整理してみようと思います。この脆弱性については、発見者であるフィンランドのセキュリティ
Heartbleed、IT関連の方ならご存知でしょう。 過去最大級と言われるセキュリティ災害です。 詳しい内容と対策はこちらが詳しいです。 ウェブを襲った最悪のセキュリティ災害「Heartbleed」から自分の身を守る方法 おそらくインターネットを使用する大多数のユーザーに影響がある、この事件。 もしパスワード管理にLastPassを使っている場合、あなたはラッキーかも。 LastPassの機能で、Heartbleed対策ができてしまうのです。 その機能というのは、昔からある「LastPassセキュリティチェック(セキュリティチャレンジ)」。 パスワードの強度やセキュリティレベルを調べてくれる機能なのですが、これにHeartbleed対策も追加されました。 さすがLastPass、ユーザーの要望分かってるわあ。 やり方は以下のとおり。 ブラウザのツールバーにある、LastPassのアイコン
2014年4月7日頃に顕在化した、OpenSSLの脆弱性「Heartbleed」によって、三菱UFJニコスは利用者のアカウント情報を盗まれ、個人情報を第三者に閲覧される被害に遭った(関連記事:国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か)。 トレンドマイクロが提供するパスワード管理ソフトでは、一部の製品でOpenSSLを利用したWebサーバーを使っていた。そのため、ユーザーに対してソフト上で管理していたすべてのWebサイトのIDとパスワードを変更するよう、呼びかけることを強いられた(関連記事:トレンドマイクロのパスワード管理ソフトでOpenSSL脆弱性による漏えいか)。 このような被害は、OpenSSLを利用していたすべてWebサイトで発生する恐れがある。OpenSSLは主にWebサーバー側で利用しているケースが多いため、サーバー設置者が対処するべきと
ネットショッピングやネットバンキングなどのWebサイトで広く使われている通信暗号化ソフト「OpenSSL」に深刻な脆弱性(セキュリティ上の欠陥)が見つかった。脆弱性のあるWebサイトでは、細工が施されたデータを送信されるだけで、Webサイトのメモリーに保存されている重要な情報を盗まれる恐れがある。具体的には、そのWebサイトを利用するユーザーがやり取りしているデータやパスワード、そのWebサイトのサーバー証明書の秘密鍵などを盗まれる危険性がある。Webサイトの管理者は、脆弱性のあるOpenSSLを使っているかどうか確認することが急務。一般のユーザーも、自分が利用しているWebサイトの対応状況を確認した方がよい。 OpenSSLとは、通信データの暗号化やWebサイトの認証などを実現する通信手法「SSL(セキュア・ソケット・レイヤー)」を利用するためのソフトウエア。OSS(オープンソースソフト
(11)話題のセキュリティ問題を考える(2014年4月25日) 日本ネットワークセキュリティ協会 幹事 (社)日本クラウドセキュリティアライアンス代表理事 アルテア・セキュリティ・コンサルティング 代表 二木真明 このところ、深刻なセキュリティ問題がいくつか話題になっています。これらは、それぞれが危険なものですが、これらを組み合わせると、一気に危険度が上がる場合がありますから注意が必要です。 1.Heartbleed(OpenSSLのTLS/Heartbeat拡張機能によるメモリ情報の漏洩)問題 2.ID、パスワードリスト攻撃 3.DNSキャッシュ汚染(DNS Cache Poisoning)問題 4.バンキングマルウェア 5.Windowsサポート終了問題 6.「合わせ技」の危険性 まずは、最近最も話題になっているこの脆弱性から話を進めましょう。 1.Heartbleed(OpenSSL
世界中のWebサイトに影響する可能性があるものの、利用者の多いWebサイトでは対応も進む。今回の問題に限らず、インターネットでは常にセキュリティへの意識を高めておくことが肝心だ。 オープンソースの暗号化ソフトウェアライブラリのOpenSSLに脆弱性が見つかった問題は、一般のニュースでも広く取り上げられるほど大きな話題になっている。問題発覚から1週間が経過し、利用者の多いWebサイトでは脆弱性対応が進んでいる。話題性に左右されず、冷静な対応が必要との意見も出ている。 この脆弱性は、OpenSSLのTSL拡張機能「Heartbeat」に起因するもので、脆弱性を悪用された場合に、通信の暗号化に必要な秘密鍵が盗まれ、第三者に情報が漏えいする可能性がある。基本的な対策はHeartbeatを使用しないか、脆弱性を修正したバージョン(OpenSSL 1.0.1g)への更新となる。 OpenSSLは特に暗
HeartBleedの影響についての情報のまとめです。(OpenSSL情報集約のページに書いていましたが量が増えてメンテナンスが大変になってきたため別記事としました。) 「影響あり」は特に記載無い限り、修正版の公開、または対応が済んでいます。随時更新・修正しています。piyokangoが勝手にまとめているだけですので、リスト掲載の情報だけを鵜呑みにせずリンク先の情報を確認してください。また掲載されていない情報があれば、@piyokangoまで教えて頂けると嬉しいです。 1. OS 対象名 CVE-2014-0160の影響 対象製品・バージョン Windows 影響なし − OSX 影響なし − Android ●影響あり(修正版提供時期不明) 4.1.1 iOS 影響なし − BlackBerry(smartphone) 影響なし − RHEL ●影響あり(日本語) 6.5,7 Beta
前書き OpenSSLの脆弱性(CVE-2014-0160)が公開されました。 詳細はpiyokangoさんの素晴らしいまとめを参照してください。 OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた - piyolog エフセキュアブログにて、トーマツの岩井さんが書いた興味深い記事がありました。 エフセキュアブログ : Openssl Heartbleed 攻撃の検知について #根本的な対策ではなく、あくまで攻撃検知という意味で。 iptables log rules iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT" iptables block rules i
Openssl Heartbleed 攻撃の検知について 2014年04月11日18:08 ツイート hiroki_iwa1 オフィシャルコメント by:岩井 博樹 ここ数年で最悪の脆弱性と言われているOpenSSL Heartbleedですが、そろそろ脆弱性への対応を終え、ホッと一息いれている組織も多いのではないでしょうか。 #Shodanで確認する限りでは対応が追いついていないところがあるようですが・・・ また、個人レベルではSNSやクラウド・ストレージなどのパスワード変更も忘れずに実施しておきたいところです。 参考: The Heartbleed Hit List: The Passwords You Need to Change Right Now Heartbleed Bug Health Report [追記] さて、既に報道などでの報告の通り、今回の攻撃はサーバ上のログなど
2014年4月2日(水) ■ apache 2.4.9 _ に上げようとした。 _ 失敗した。 _ mod_mpm_event.so がビルドされてないなぁ。なんでだろ。perfork か worker に変えれば動くんだろうけど、腑に落ちないのでちと調べてみる。 _ config.log から。 configure:25851: checking if event MPM supports this platform configure:25866: result: no - APR skiplist is not available うーむ。configure の中身をさらに見ていくと、 case $APR_VERSION in 1.4*) apr_has_skiplist=no ;; *) apr_has_skiplist=yes esac こんな感じ。たしかに apr 1.4 だな
HeartBleed(CVE-2014-0160)関係のリンク集、自分のメモ用なので不正確です。 HeartBleedの影響対象となるOpenSSLバージョン 以下のバージョンが影響を受けます。但し、システムによっては原因となっているheartbeat機能が無効化されている場合もあるため、バージョンが一致しただけで当該脆弱性の影響を受けるかは確定しません。 (1) OpenSSL 1.0.1系 バージョン名 リリース時期 CVE-2014-0160 OpenSSL 1.0.1 2012/03/14 脆弱性あり OpenSSL 1.0.1a 2012/04/19 脆弱性あり OpenSSL 1.0.1b 2012/04/26 脆弱性あり OpenSSL 1.0.1c 2012/05/10 脆弱性あり OpenSSL 1.0.1d 2013/02/05 脆弱性あり OpenSSL 1.0.1e
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
It's time to update your passwords to various sites affected by the Heartbleed bug. Credit: Mashable composite. iStockphoto, SoberP An encryption flaw called the Heartbleed bug is already being dubbed one of the biggest security threats the Internet has ever seen. The bug has affected many popular websites and services -- ones you might use every day, like Gmail and Facebook -- and could have quie
「Heartbleed」問題でGoogleやMozilla、Amazon Web Servicesなどの各社が対応状況を説明。顧客側にもSSL証明書の入れ替えなどの対応を促している。 オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」に極めて深刻な脆弱性が見つかった問題で、影響を受ける企業が緊急対応に乗り出している。この脆弱性を悪用されるとパスワードや秘密鍵などの情報が流出する恐れがあり、攻撃を受けたとしても痕跡は残らない。 Googleは米国時間の9日までに、検索サービスやGmail、YouTube、Wallet、Play、Apps、App Engineなどの主要サービスで問題を修正したと発表した。ChromeとChrome OSは影響を受けないという。 Google Cloud PlatformやGoogle Search Appliance(GSA)については現在対応中
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
