アカウント名:
パスワード:
まずは、piyokango さんのまとめ。 OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。 [hatena.ne.jp]
これを読むと、通信の盗聴・改ざんが可能な MITM 攻撃が成立するのは、サーバ側は 1.0.1 で、かつ、クライアント側が脆弱性を持つ OpenSSL を利用している場合。 で、クライアント側で、OpenSSL を利用しているブラウザ、となると、一般的に利用されているものとしては、Android 用の Chrome ぐらいで、主だったブラウザでは、そもそも、OpenSSL を利用していない。 OpenSSL、新たな [zdnet.com]
SSH界隈ではその条件にあうことがものすごく多いような気がするよ。
それはつまり、sshでは、問題のあるOpenSSLを使用している(ことが多い?)ということでしょうか。sshがどのバージョンのOpenSSLを使用しているか確認できる方法がありましたら、ご教示いただけるとありがたいです。
え?もしかして、そんなことも知らないで使ってるわけ?まさかね。
LinuxとUnix系ならそうだけど、Windowsだとライブラリ含めてコンパイルしちゃうこともあるだろうから、ソフトウェアによってバージョン違うんじゃないかと。Windowsはあんまり知らんけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
意外に実害は少ない? (スコア:5, 参考になる)
まずは、piyokango さんのまとめ。
OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。 [hatena.ne.jp]
これを読むと、通信の盗聴・改ざんが可能な MITM 攻撃が成立するのは、サーバ側は 1.0.1 で、かつ、クライアント側が脆弱性を持つ OpenSSL を利用している場合。
で、クライアント側で、OpenSSL を利用しているブラウザ、となると、一般的に利用されているものとしては、Android 用の Chrome ぐらいで、主だったブラウザでは、そもそも、OpenSSL を利用していない。
OpenSSL、新たな [zdnet.com]
Re:意外に実害は少ない? (スコア:0)
SSH界隈ではその条件にあうことがものすごく多いような気がするよ。
Re: (スコア:0)
それはつまり、sshでは、問題のあるOpenSSLを使用している(ことが多い?)ということでしょうか。
sshがどのバージョンのOpenSSLを使用しているか確認できる方法がありましたら、ご教示いただけるとありがたいです。
Re: (スコア:0)
え?
もしかして、そんなことも知らないで使ってるわけ?
まさかね。
Re: (スコア:0)
Re: (スコア:0)
LinuxとUnix系ならそうだけど、Windowsだとライブラリ含めてコンパイルしちゃうこともあるだろうから、
ソフトウェアによってバージョン違うんじゃないかと。Windowsはあんまり知らんけど。