株はがまん☂☃ が出来ないさんのブログ

最新一覧へ

« 前へ1701件目 / 全2273件次へ »
ブログ

WBS パスワード丸見え

ついて行けない世界に迷い込んだ

すべて分からない


ネットにおくお金を最小限にする


オープンソースの暗号通信ライブラリである OpenSSL に、情報漏えいの脆弱性が発見されました。
この脆弱性を悪用された場合、本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。

一般利用者が知らないうちに、攻撃者はこの脆弱性を悪用してサーバのデータを窃取できます。その結果、たとえば以下のことが起こり得ます:

  • 利用者が攻撃者になりすまされる可能性があります(攻撃者が利用者の ID やパスワードを窃取した場合)
  • 攻撃者に暗号通信を解読される恐れがあります(攻撃者が秘密鍵を窃取した場合)

既に、当該脆弱性を悪用できる攻撃コードが公開されており、その攻撃コードを用いたと思われる通信も観測されているとの情報があるため、至急、対策を実施して下さい。


最終更新日:2014年4月15日

https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

独立行政法人情報処理推進機構 (IPA)
OpenSSL の脆弱性対策について(CVE-2014-0160)


https://www.jpcert.or.jp/wr/2014/wr141501.html#1


NSA、「Heartbleedを2年前から悪用してきた」報道を否定


「米国家安全保障局(NSA)は少なくとも2年前からHeartbleedの脆弱性を認識し、情報収集に利用してきた」というBloombergの報道をNSAがTwitterで否定し、声明文を発表した。


[佐藤由紀子,ITmedia]
米国家安全保障局(NSA)は4月11日(現地時間)、NSAが少なくとも2年前から「Heartbleed Bug」を認識しながら放置し、情報収集のために利用していたとする米Bloombergの同日の記事を公式Twitterで否定し、声明文を発表した。
 
「NSAは最近特定されたHeartbleedの脆弱性について、公にされるまで知らなかった」
 
 Bloombergは、この件に詳しい2人の関係者の話として同記事を掲載した(現在この記事は更新され、NSAからの反論が反映されている)。
 NSAは声明文で、「NSAやその他の政府機関がHeartbleedと呼ばれる脆弱性に2014年4月以前に知っていたという報道は誤り」で「連邦政府がもし先週より前にこの脆弱性に気づいていれば、OpenSSL関連コミュニティに報告していただろう」としている。
 NSAはまた、連邦政府はバラク・オバマ大統領が任命した第三者専門家チームのアドバイスに基いて脆弱性情報公開のプロセスを改善したという。このプロセスは「国家安全保障あるいは法執行上の明確な必要性がない限り」という条件付きで、発見した脆弱性について公表する傾向にあるとしている。


















コメントを書く
コメントを投稿するには、ログイン(無料会員登録)が必要です。