■ このスレッドは過去ログ倉庫に格納されています
【IT】OpenSSLにまた危険度の高い脆弱性、中間者攻撃につながる恐れ 修正版が公開 [6/6]
- 1 :ゆでたてのたまご ★@\(^o^)/:2014/06/06(金) 15:27:16.84 ID:???0.net
- OpenSSLにまた危険度の高い脆弱性、中間者攻撃につながる恐れ、修正版が公開
(2014/6/6 14:02)
OpenSSL Projectは5日、オープンソースのSSL/TLSライブラリ「OpenSSL」に関する6件の
脆弱性情報を公表し、脆弱性を修正したバージョン(1.0.1h、1.0.0m、0.9.8za)を公開した。
中間者攻撃(MITM:Man-in-the-middle)により暗号通信の内容が第三者に読み取られたり、
内容が改ざんされたりする可能性のある、危険度の高い脆弱性の修正も含まれている。
中間者攻撃につながる恐れのある脆弱性(CVE-2014-0224)は、Change Cipher Spec(CCS)メッセージの
処理に関するもの。OpenSSLにはCCSプロトコルの実装に問題があり、鍵情報の交換の前に
CCSメッセージを受け取ると、空の鍵情報を使って暗号化鍵を生成してしまう。
この脆弱性を発見した株式会社レピダムの菊池正史氏によると、クライアントとサーバーが
ともにバグが存在するバージョンのOpenSSLを使用しており、サーバー側がバージョン1.0.1以降の
場合に、通信の盗聴・改ざんを行う攻撃が行われる恐れがある。サーバーだけがバグの
存在するバージョンの場合は、クライアントの偽装を行う攻撃が行われる恐れがあるという。
レピダムでは、この脆弱性の攻撃方法には十分な再現性があり、標的型攻撃などに利用される
可能性は非常に高いと考えられると警告している。...
ソース: Impress Watch http://cloud.watch.impress.co.jp/docs/news/20140606_652157.html
関連スレッド:
【IT】OpenSSL欠陥、スマホOSのアンドロイドにも 国内6機種に採用 [5/12]
http://peace.2ch.net/test/read.cgi/newsplus/1399910279/
- 2 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 15:28:29.68 ID:yPZ3F8zZ0.net
- http://www.dotup.org/uploda/www.dotup.org5106370.jpg
http://www.dotup.org/uploda/www.dotup.org5107002.jpg
- 3 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 15:29:19.72 ID:5X6UaLkh0.net
- また問い合わせきちゃうじゃん面倒くさい。
- 4 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 15:31:53.25 ID:IkVXiqda0.net
- クロネコとかカタログハウスとか、中間者攻撃(MITM:Man-in-the-middle)を放ったらかしにしてるサイトが多かった。
過去に遡っては大丈夫だと思うが、安全になるまで使いたくないなあ。
- 5 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 16:01:48.28 ID:LnUiR+sK0.net
- 修正版でてるならいいやん。
うちも機能UPDATE来てたy.
- 6 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 16:25:09.56 ID:k39Lyv6L0.net
- close sslつくれよ
- 7 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 17:03:51.49 ID:Mfi+ff1B0.net
- Oops
- 8 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 17:04:26.29 ID:IEd9laWs0.net
- またおめーかよ!
- 9 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 17:14:47.96 ID:0Bekt5200.net
- インターネットは信頼したもの負けと設計当時より決まっているんで。
- 10 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 17:21:31.44 ID:xQ/XN+k50.net
- あ〜ぁ…またぁ
- 11 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 17:32:38.74 ID:Ssg4kxUx0.net
- >>6
ドアに"Close"という札を掛けるのは止めてください!
- 12 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 17:34:15.63 ID:q8uheT+40.net
- LibreSSLはいつ完成?
- 13 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 17:37:33.14 ID:Y4kbsOYk0.net
- で、sshは大丈夫なの?心配なので自宅のsshデーモン切った
- 14 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 18:22:45.11 ID:EbOuaKxG0.net
- タダより高いものはない
- 15 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 18:25:16.34 ID:4dTarEPS0.net
- もうオープンソースはダメだな
- 16 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 18:26:01.50 ID:lDYxshJK0.net
- >>13
sshはOpenSSL使ってない
何も知らないのに使ってる人のほうが怖いわw
- 17 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 18:29:05.35 ID:b7e1pQUo0.net
- >>15
お前はクローズドのwindowsにこの手のバグがなかったとでも思ってるのか?
- 18 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 18:31:38.99 ID:0Bekt5200.net
- >>16
sshも前科持ちだから何ともw
- 19 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 18:47:05.93 ID:hCCbRQ6x0.net
- 僕の肛門もセキュリティホールです><
- 20 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 20:18:51.12 ID:JuEKFKqv0.net
- >>19
懐かしいフレーズだな
- 21 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 21:12:47.79 ID:MgnZAOjq0.net
- さすがにもう大きなニュースには
ならないみたいだな
- 22 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 21:30:27.33 ID:0Bekt5200.net
- >>21
だってこれから壊れます、とか壊れやすいのでリコールしますとかじゃなくて
ごめーんここ何年間か壊れてたはwwwwww
↑どうしろと?
- 23 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 22:43:01.50 ID:8nhxnlSO0.net
- heartbleedと比べたら危なさが薄いなあ
まあパッチ適用した方がいいのは間違いないんだけど。
- 24 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 22:43:21.14 ID:b7e1pQUo0.net
- >>22
どうしろとだと?
アップデートしろよ
どんだけばかなの
- 25 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 22:51:21.46 ID:hwy1UESG0.net
- 対策を終えてから一般には報道して欲しいな
- 26 :名無しさん@0新周年@\(^o^)/:2014/06/06(金) 22:54:00.25 ID:bbSVIN//0.net
- ありゃ、0,9.8にも見つかったか。
うちsoftether使ってたんだよな。
hp見たらもううpでーと公開してた。
- 27 :名無しさん@13周年@\(^o^)/:2014/06/06(金) 23:39:45.12 ID:tuRiq0370.net
- 日本のネットワークは安全だからという意味不明な理由でMITM脆弱性って軽視されがちだよね
いまどき国内にしか接続しないなんてありえないのに
>>26
SoftEtherは使える暗号アルゴリズムがカスだからいくらopensslをアップデートしても
NSAのような本格的な盗聴を仕掛けられたら裸同然
- 28 :名無しさん@0新周年@\(^o^)/:2014/06/07(土) 01:40:16.02 ID:cIm00wk50.net
- >>27
SoftEtherの件、逆にNSA絡みで強い暗号が使えないわけじゃないよね…。
- 29 :名無しさん@0新周年@\(^o^)/:2014/06/07(土) 14:13:07.15 ID:HcVhJ33M0.net
- またか、
- 30 :名無しさん@0新周年@\(^o^)/:2014/06/07(土) 16:54:50.68 ID:j1JdKAyk0.net
- なにーついさっきオンラインバンクにアクセスしちゃったぞ
ヤバイかな
こう言うのに対応するの遅そうだもんなぁ日本の企業は
- 31 :名無しさん@0新周年@\(^o^)/:2014/06/07(土) 16:57:51.27 ID:go8PsqFp0.net
- だからっつって
クローズドソースが安全かと思ったら大間違い
Windowsはオープンソースでも何でもないのにやたらと攻撃されまくっている
これはなぜかね?オープンソースじゃないのに
- 32 :名無しさん@0新周年@\(^o^)/:2014/06/07(土) 16:58:32.74 ID:kQ8hYA4z0.net
- 猿でも分かるように教えろ
- 33 :名無しさん@0新周年@\(^o^)/:2014/06/07(土) 17:02:19.97 ID:KtNqLDsS0.net
- Windowsは欠陥品
これを堂々売っているアメリカは賠償しろ
- 34 :名無しさん@0新周年@\(^o^)/:2014/06/07(土) 17:11:55.02 ID:UCs+P/8W0.net
- 今回はCentOS5も対象?
- 35 :名無しさん@0新周年@\(^o^)/:2014/06/07(土) 17:14:36.20 ID:hVNERSSS0.net
- OpenSSLなんて使ってるのは情弱
- 36 :名無しさん@0新周年@\(^o^)/:2014/06/07(土) 17:33:40.56 ID:Wu7aJ+Nc0.net
- >>34
Centos5は何日か前にupdateきてたよ。
- 37 :名無しさん@0新周年@\(^o^)/:2014/06/07(土) 17:36:20.03 ID:Wu7aJ+Nc0.net
- >>35
自分のPCで libeay32.dll と ssleay32.dll を検索してみたら?
結構入ってたりする。
- 38 :名無しさん@0新周年@\(^o^)/:2014/06/07(土) 17:36:54.81 ID:SddxqLac0.net
- >>34
対策版の0.9.8e-27.el5_10.3がリリースされている。
- 39 :名無しさん@0新周年@\(^o^)/:2014/06/08(日) 01:21:15.10 ID:rpSudL7M0.net
- >>32
猿には関係ない
- 40 :名無しさん@0新周年@\(^o^)/:2014/06/08(日) 01:30:24.62 ID:fknqroDV0.net
- SSHで1万ビットぐらいの暗号カギを使いたいと思うこのごろだった。
- 41 :名無しさん@0新周年@\(^o^)/:2014/06/08(日) 01:40:52.00 ID:iXsHb3tfi.net
- また証明書作り直しかよ
- 42 :名無しさん@0新周年@\(^o^)/:2014/06/08(日) 10:43:08.13 ID:fs2l0PkL0.net
- OpenSSL使ってなくてよかた
- 43 :名無しさん@0新周年@\(^o^)/:2014/06/08(日) 10:49:59.43 ID:QSHR7I1O0.net
- 最近通信状態がおかしいのはこのせいかなあ
- 44 :名無しさん@0新周年@\(^o^)/:2014/06/08(日) 16:23:43.24 ID:MNclpgWk0.net
- 今回の脆弱性はクライアント、サーバーの両方が修正されていない場合に影響あるのか
クライアント側で修正していれば大丈夫だな
- 45 :名無しさん@0新周年@\(^o^)/:2014/06/08(日) 18:56:11.97 ID:Dfl2loNq0.net
- 厄介なのはAndroidか…?
- 46 :名無しさん@0新周年@\(^o^)/:2014/06/08(日) 19:13:39.74 ID:KboIbu0a0.net
- 元からノーガードなんだからええやろ
- 47 :名無しさん@0新周年@\(^o^)/:2014/06/08(日) 21:59:14.09 ID:Dfl2loNq0.net
- Androidで銀行系アプリはダメダメってことかな…。
- 48 :名無しさん@0新周年@\(^o^)/:2014/06/09(月) 05:16:27.35 ID:7cdxV2+40.net
- この脆弱性はクライアントで使用されている全てのバージョンが対象だな
バージョンアップできない製品はサーバー側で対処しない限り、
この脆弱性を使用して盗聴され放題だな
- 49 :名無しさん@0新周年@\(^o^)/:2014/06/09(月) 13:59:02.74 ID:api8KTX20.net
- 本当に致命的な欠陥は、
公表すると大変なことになるので絶対に公表されません。
- 50 :名無しさん@0新周年@\(^o^)/:2014/06/09(月) 14:51:56.13 ID:AK6cVWMh0.net
- 天才ハッカーから見たら、オープンソースは脆弱性含め公表されているのと同じかも知れんな
- 51 :名無しさん@0新周年@\(^o^)/:2014/06/09(月) 15:11:44.61 ID:vMk53Dex0.net
- >>50
逆にクローズドソースであるマイクロソフトやアップルのOSには、
NSAのバックドアがしこまれているので、詰んでいます。
- 52 :名無しさん@0新周年@\(^o^)/:2014/06/09(月) 15:26:13.66 ID:AK6cVWMh0.net
- >>51
NSAに加担したのはニュースになったけど、OS(ソフト)そのものにバックドアは本当にあるのだろうか。
通信経路とかサービス(skype)とかそういうところで盗聴しているのは考えられるけど。
それはさておき、バックドアはあると思ったほうが良いね。
怖いのはNSAではなく、そのバックドアを発見し悪用する第三者。
ちなみに俺はここ3年、Linuxしか使っていない。
- 53 :名無しさん@0新周年@\(^o^)/:2014/06/09(月) 18:51:38.54 ID:8I08y+PZ0.net
- もうさ、辞めたら?
はっきり言ってこのプロジェクト自体もうその他のオープンソース陣営と同じく崩壊始まってるよ。
そんなものセキュリティ任せるとかアホすぎる。
総レス数 53
12 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200