パスワードを忘れた? アカウント作成
279065 journal

iidaの日記: OpenSSL 1.0.0c, 0.9.8q

日記 by iida

OpenSSL 1.0.0c, 0.9.8qがリリースされた。
セキュリティー修正を2つ含んでいる。
アドバイザリーが出ている。
従来のすべての版のOpenSSLが
・暗号法をダウングレードできる脆弱性
・J-PAKE認証を無意味にできる脆弱性
を内包していた模様。

前者の脆弱性は、OpenSSLの内部キャッシュを利用していて、かつ、SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUGフラグを使っていることが条件になる。
ただ、SSL_OP_ALL オプションを使っても、このフラグを使ったことになるので、要注意だ。

後者の脆弱性については、2010年9月に論文が出ていたようだが、まだまじめに読んでいない。

[参考URL]
  http://www.st.ryukoku.ac.jp/~kjm/security/memo/2010/12.html#20101207_OpenSSL

この議論は、iida (8060)によって テキとトモのテキ禁止として作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...