OpenSSLに関するstella_nfのブックマーク (4)
-
観光施設﹁スパリゾートハワイアンズ﹂で知られる常磐興産は2017年7月12日、同社のショッピングサイト﹁ハワイアンズモール﹂で、最大6860件のクレジットカード情報が流出した可能性があると発表した。原因は、システムで利用していたSSL/TLSライブラリである﹁OpenSSL﹂の脆弱性﹁HeartBleed﹂である。 常磐興産がハワイアンズモールの運営を委託しているシステムフォワードが提供するシステムが、外部からの不正アクセスを受け、情報が流出した。不正アクセスを受けたのは、2017年2月10日から5月25日の間と見られ、この間にハワイアンズモールでクレジットカード決済を行ったユーザーのクレジットカード情報が流出した可能性がある。なお、スパリゾートハワイアンズ施設内でのクレジットカードの利用は、情報流出の対象ではないという。 2017年5月25日にクレジットカード決済代行会社からクレジットカ
-
2014年4月に発覚した﹁Heartbleed﹂と呼ばれるOpenSSLの重大な脆弱性について、2年近くたった今も、この脆弱性が修正されないまま放置されているサーバやサービスが約20万件に上ることが、Shodanの報告書で明らかになった。 それによると、2017年1月22日の時点でHeartbleedの脆弱性︵CVE-2014-0160︶を検索したところ、19万9594件の検索結果が表示された。国別に見ると、米国を筆頭に韓国、中国、ドイツなどが多数を占めていた。 ドメイン別ではAmazon AWSで使われている﹁amazonaws.com﹂が最多で、AWSでホスティングされているサーバの脆弱性が修正されないまま放置されている様子がうかがえる。 サービス別ではHTTPS、製品別ではApache httpdが突出して多かった。 Heartbleedの脆弱性は2014年4月に発覚し、同月公開され
-
危険度﹁高﹂を含む2件の脆弱性が修正されたほか、TLSプロトコルに発覚した﹁Logjam﹂の脆弱性の回避策が実装された。 OpenSSLプロジェクトチームは1月28日、予告通りにOpenSSLの更新版となるバージョン1.0.2fと1.0.1rを公開し、2件の脆弱性に対処したことを明らかにした。2件の脆弱性のうち、﹁DH︵Diffie-Hellman︶小サブグループ﹂の脆弱性は危険度﹁高﹂に分類されている。OpenSSLやCERT/CCのセキュリティ情報によると、OpenSSLでは従来は﹁安全な﹂素数に基づくDHパラメータのみが生成されていたが、バージョン1.0.2からはX9.42方式のパラメータファイル生成がサポートされた。しかしこのファイルに使われる素数は﹁安全﹂でなく、攻撃者に鍵を取得されてしまう恐れがある。 さらにこの素数は、プロセスが続く間はデフォルトで再利用される設定になってお
-
米病院チェーンから患者450万人の個人情報が流出した事件は、4月に発覚したOpenSSLの重大な脆弱性を突く攻撃でネットワークに侵入されていたことが分かった。 米病院チェーンのCommunity Health Systems︵CHS︶社から患者約450万人の個人情報が流出した問題で、米セキュリティ企業TrustedSecは8月19日、4月に発覚した﹁Heartbleed﹂と呼ばれるOpenSSLの重大な脆弱性を突く攻撃が、流出の発端だったことが分かったと伝えた。 CHSのネットワークは4~6月にかけて外部から攻撃され、系列の医療機関を受診した患者約450万人の氏名や住所、社会保障番号などが流出したとされる。TrustedSecは、この問題に関する調査に詳しい関係者から情報を入手したという。 それによると、攻撃者はHeartbleedの脆弱性を突いてCHSのJuniper製デバイスのメモリか
-
1