アカウント名:
パスワード:
まずは、piyokango さんのまとめ。 OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。 [hatena.ne.jp]
これを読むと、通信の盗聴・改ざんが可能な MITM 攻撃が成立するのは、サーバ側は 1.0.1 で、かつ、クライアント側が脆弱性を持つ OpenSSL を利用している場合。 で、クライアント側で、OpenSSL を利用しているブラウザ、となると、一般的に利用されているものとしては、Android 用の Chrome ぐらいで、主だったブラウザでは、そもそも、OpenSSL を利用していない。 OpenSSL、新たなパッチが公開--重大な脆弱性がまたも発見される - ZDNet [zdnet.com]
クライアント認証の問題とか、HTTPS 以外にも SSL/TLS は使われている、とか、影響を受けるものは確かにあるんだけど、こと、一般的な Web アクセスにおいては、仮に、サーバ側が脆弱な状態であっても、「盗聴」「改ざん」といった、センセーショナルな問題はほとんど起きない気がするなぁ。
Androidアプリ(Webiew以外)がヤバいらしいhttp://qiita.com/emittam/items/521aad997522a5f49eeb [qiita.com]
うん、でもこのバグで結構連絡が来るんだ下手したら前よりも・・・・
IEの時も昔から何度かあったバグなのにやたら騒いでたし、日本人は危ないぞ!って言われると弱いんでしょうか
バスに乗り遅れるぞ!と似た感じなのかな
個人的に心配しているのはgitとか、VPN製品かなー。
Sylpheedがさっそくパッチ出してました。 http://sylpheed.sraoss.jp/ja/news.html [sraoss.jp]
そもそもAccess Vectorが限定的なので、この脆弱性だけで実害に繋げるのは厳しいかと思います。合わせ技一本となると、日頃からセキュリティに気を配っているサーバなら害を受けないだろうし、逆ならばやられ放題みたいな感じですかね。
しかしパッケージ管理ツールとかhttpsでバイナリ落としてるツールがOpenSSLだったりしないかな。ま、MITMで狙われるような情報ってそうないと思うけども。
パッケージ管理では、中間者攻撃されても電子署名のチェックで弾かれるはず。
SSH界隈ではその条件にあうことがものすごく多いような気がするよ。
それはつまり、sshでは、問題のあるOpenSSLを使用している(ことが多い?)ということでしょうか。sshがどのバージョンのOpenSSLを使用しているか確認できる方法がありましたら、ご教示いただけるとありがたいです。
え?もしかして、そんなことも知らないで使ってるわけ?まさかね。
LinuxとUnix系ならそうだけど、Windowsだとライブラリ含めてコンパイルしちゃうこともあるだろうから、ソフトウェアによってバージョン違うんじゃないかと。Windowsはあんまり知らんけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
意外に実害は少ない? (スコア:5, 参考になる)
まずは、piyokango さんのまとめ。
OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。 [hatena.ne.jp]
これを読むと、通信の盗聴・改ざんが可能な MITM 攻撃が成立するのは、サーバ側は 1.0.1 で、かつ、クライアント側が脆弱性を持つ OpenSSL を利用している場合。
で、クライアント側で、OpenSSL を利用しているブラウザ、となると、一般的に利用されているものとしては、Android 用の Chrome ぐらいで、主だったブラウザでは、そもそも、OpenSSL を利用していない。
OpenSSL、新たなパッチが公開--重大な脆弱性がまたも発見される - ZDNet [zdnet.com]
クライアント認証の問題とか、HTTPS 以外にも SSL/TLS は使われている、とか、影響を受けるものは確かにあるんだけど、こと、一般的な Web アクセスにおいては、仮に、サーバ側が脆弱な状態であっても、「盗聴」「改ざん」といった、センセーショナルな問題はほとんど起きない気がするなぁ。
Re:意外に実害は少ない? (スコア:2, 参考になる)
Androidアプリ(Webiew以外)がヤバいらしい
http://qiita.com/emittam/items/521aad997522a5f49eeb [qiita.com]
Re:意外に実害は少ない? (スコア:1)
うん、でもこのバグで結構連絡が来るんだ
下手したら前よりも・・・・
IEの時も昔から何度かあったバグなのにやたら騒いでたし、日本人は危ないぞ!って言われると弱いんでしょうか
バスに乗り遅れるぞ!と似た感じなのかな
Re:意外に実害は少ない? (スコア:1)
個人的に心配しているのはgitとか、VPN製品かなー。
Re:意外に実害は少ない? (スコア:1)
Sylpheedがさっそくパッチ出してました。 http://sylpheed.sraoss.jp/ja/news.html [sraoss.jp]
Re:意外に実害は少ない? (スコア:1)
そもそもAccess Vectorが限定的なので、この脆弱性だけで実害に繋げるのは厳しいかと思います。
合わせ技一本となると、日頃からセキュリティに気を配っているサーバなら害を受けないだろうし、逆ならばやられ放題みたいな感じですかね。
Re: (スコア:0)
しかしパッケージ管理ツールとかhttpsでバイナリ落としてるツールがOpenSSLだったりしないかな。
ま、MITMで狙われるような情報ってそうないと思うけども。
Re:意外に実害は少ない? (スコア:1)
パッケージ管理では、中間者攻撃されても電子署名のチェックで弾かれるはず。
Re: (スコア:0)
SSH界隈ではその条件にあうことがものすごく多いような気がするよ。
Re: (スコア:0)
それはつまり、sshでは、問題のあるOpenSSLを使用している(ことが多い?)ということでしょうか。
sshがどのバージョンのOpenSSLを使用しているか確認できる方法がありましたら、ご教示いただけるとありがたいです。
Re: (スコア:0)
え?
もしかして、そんなことも知らないで使ってるわけ?
まさかね。
Re: (スコア:0)
Re: (スコア:0)
LinuxとUnix系ならそうだけど、Windowsだとライブラリ含めてコンパイルしちゃうこともあるだろうから、
ソフトウェアによってバージョン違うんじゃないかと。Windowsはあんまり知らんけど。