2014年6月5日

OpenSSLの新たな脆弱性 CCS Injection が発見される

OpenSSLの新たな脆弱性 CCSインジェクション (CVE-2014-0224) が発見されました。OpenSSLプロジェクトからは他の脆弱性(6つあります)への対応も含んだ0.9.8za、1.0.0m、1.0.1hがリリースされています。このまとめでは主にCVE-2014-0224を扱います。 それを発見した日本の会社であるレピダムによるツイートと、その反応をいくつか。
31
kikx @kikx

むきゃー、なんか某プログラムに盛大がバグがあるのを見つけた気がして全然眠れん

2014-04-22 07:44:28
kikx @kikx

あああああああああ、完全におわた!

2014-04-24 05:40:29
Takayuki KUSANO @tkusano

OpenSSL の CCS Injection 脆弱性が JPCERT/CCに 報告されて一般公開されるまでの経過 plus.google.com/+MarkJCox/post…

2014-06-06 02:12:05

なお、いろいろあってOpenBSDには連絡が行かなかったようで、一部で話題になっています。

公開

lepidum @lepidum

東京都渋谷区笹塚にオフィスを構える株式会社レピダムのアカウントです。よろしくお願いします。

2014-06-05 12:47:14
Mark J Cox @iamamoose

OpenSSL security fixes now available for CCS Injection flaw openssl.org/news/secadv_20… pic.twitter.com/dl4BpGKB8K

2014-06-05 20:29:37
拡大
lepidum @lepidum

当社で発見し報告をしたOpenSSLの脆弱性(CVE-2014-0224 )が公開されました。早急な更新が望まれる内容だと考えています。 #ccsinjection #OpenSSL 概要はこちらのページをご参照下さい。ccsinjection.lepidum.co.jp

2014-06-05 20:44:37
lepidum @lepidum

OpenSSL project announced new vulnerability(CVE-2014-0224) which we discovered. #ccsinjection #OpenSSL pic.twitter.com/cZcMtMBwWy

2014-06-05 20:57:47
拡大
lepidum @lepidum

We think this vulnerability is serious and every OpenSSL user have to upgrade immediately. ccsinjection.lepidum.co.jp #ccsinjection #OpenSSL

2014-06-05 21:00:29
lepidum @lepidum

CCS Injection脆弱性(CVE-2014-0224)の発見経緯についての紹介記事です。lepidum.co.jp/blog/2014-06-0…  #ccsinjection #OpenSSL

2014-06-05 21:37:42
lepidum @lepidum

How I discovered CCS Injection Vulnerability (CVE-2014-0224) lepidum.co.jp/blog/2014-06-0… #ccsinjection #OpenSSL

2014-06-05 21:39:29
lef/HAYASHI, Tatsuya @lef

OpenSSLの脆弱性、CVE-2014-0224の修正版が公開されました。大きな影響がある脆弱性だと思います。早急な対応が望まれます。 概要は以下のページを参照下さい。 ccsinjection.lepidum.co.jp #ccsinjection

2014-06-05 20:47:54

バージョン番号

HARUYAMA Seigo @haruyama

0.9.8y の次は 0.9.8za となった

2014-06-05 20:58:17
Kazuo Ohtake @rohtake

@tkusano 昔のNetBSD-currentがそういう命名規約でした。

2014-06-05 21:29:40
y-Aki @y_aki

@tkusano Excel方式ではないな^^;

2014-06-05 21:19:53
kimura wataru @kimuraw

opensslの"y"の次が"za"なのえらい遠く感じたのって、Excelのイメージだったぽい。Excel的には"Y","Z","AA"だよな。

2014-06-06 00:19:34

DTLS

HATANO Hirokazu @tcsh

OpenSSLのSA出てる。 DTLSクライアントってなんぞ? openssl.org/news/secadv_20…

2014-06-05 21:03:35
HATANO Hirokazu @tcsh

@TAKADA_H マジすか... (LibraSSLまで待てないのか、OpenSSL) TCP以外でTLS使った場合だけ影響? > DTLS

2014-06-05 21:07:42
Masanori Ogino @omasanori

@tcsh Datagram TLS (TCPではなくUDPのようなデータグラムプロトコルを保護する) を使って通信するクライアントです。

2014-06-05 21:10:19
残りを読む(66)

コメント

Takayuki KUSANO @tkusano 2014年6月5日
まとめを更新しました。
0
Takayuki KUSANO @tkusano 2014年6月6日
発見時のツイート、各OS、ディストリビューションの対応の情報、Coq関連を追加
0