探検


さよならOpenSSL

1login:Penguin
垢版 |
2014/04/08(火) 19:10:22.57ID:xvnez2vR
Linuxオワタ \(^o^)/


OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ
http://headlines.yahoo.co.jp/hl?a=20140408-00000015-zdn_ep-sci
2014/04/08(火) 22:34:57.26ID:LyUeDAM7
結局Windows Serverが安全てことだな
3login:Penguin
垢版 |
2014/04/09(水) 22:55:51.92ID:EGNjvkTn
>>2
は?(威圧)
2014/04/10(木) 14:10:23.23ID:TwSL4uhD
冗談がお得意ですね
2014/04/12(土) 10:10:52.88ID:Ov1vx28u
>>2
>>3 いや、正解でしょ
2014/04/12(土) 11:03:23.21ID:WVt/+yBp
Debin 7.4で
$ sudo apt-get update
$ sudo apt-get upgrade openssl
してもアップグレード:0個で
$ openssl version
すると
OpenSSL 1.01e 11 Feb 2013
のままなのよ。

どうすれば対策版になるの?
2014/04/12(土) 13:04:09.03ID:K60Xo2me
>>6
testing版だと既にインストール可能だったぞ。
2014/04/12(土) 13:37:55.52ID:WVt/+yBp
>>7
ありがとうございます。逝って来ます。
9login:Penguin
垢版 |
2014/04/12(土) 14:58:07.95ID:8jc4s83P
dpkg -l |grep openssl
ii openssl 1.0.1e-2+deb7u6
2014/04/12(土) 22:09:02.73ID:w6KVMh1D
dist-upgradeに失敗して未だにsqueezeのままの俺に死角はなかった
2014/04/12(土) 22:26:08.42ID:c9fzcyfD
あかんやろそっちがよっぽど(真面目)
2014/04/13(日) 05:42:04.06ID:0dNjCWEl
威圧()w
13login:Penguin
垢版 |
2014/04/16(水) 07:32:09.10ID:mgdOEAd0
オープンソースがいかに危険か見せつけたな
14login:Penguin
垢版 |
2014/04/16(水) 07:43:32.88ID:hYysqqMX
opensslの脆弱性が最近記事になってるやん

これ変な気がするんだよなぁ
メモリーをコピられてもさ、それってユーザー空間なわけじゃないのさ?
んで、ふつうさ、コネクション毎に別のプロセス立ち上げるだろ?
つまりね、別のユーザー空間にアクセスできるわけねえんだから
そもそもメモリーをコピーしたところでなんか見れるの?
ふつうcallocすりゃメモリは0で初期化されるだろ?
他のプロセスが使ってたメモリの内容がスタック領域とかに残ってるのか?

陰謀論なら、フリーソフトではなく商用ソフトを使わせたいとかいうことかもね
でも、スノーデンが正しいならむしろそっちのほうこそ仕込まれてる可能性があるわけで・・・・

というか、仮に1つのプロセスがすべてに対応する作りだと
そもそもそれ自体がセキュアーなアーキテクチャになってないという
ほんまにそういうつくりなのか?
15login:Penguin
垢版 |
2014/04/16(水) 08:28:34.98ID:sBr/pVe5
不正アクセスが急増してるというがアクセスでメモリの情報を取れるものなのか?
2014/04/16(水) 18:48:39.76ID:tbSRFIld
疑問があっても調べもせずドヤ顔でテキトーぶっこく連中ですか
2014/04/19(土) 11:42:18.98ID:dOha9b4T
【IT】OpenSSL欠陥、三菱UFJニコス894人個人情報流出か 被害判明は国内初 [4/19]
http://ai.2ch.net/test/read.cgi/newsplus/1397874984/

欠陥発覚後に即対策してないからこうなる
結局使う奴が間抜けだと何をやってもダメってこと
2014/04/19(土) 14:44:48.97ID:1gdxf9St
>>17
本当のアホは気づいてすらいないから
ちゃんと調べて公表できるだけ優秀
2014/04/20(日) 10:13:11.78ID:rXQ0A+qA
>>18
ほんとそれだからタチがわるいw
2014/04/20(日) 16:16:09.52ID:m5jTFGk1
何かあったら真っ先に自分たちが被害者面するノーガード戦法w
2014/04/21(月) 21:30:40.97ID:6ByJPEKp
OpenSSLのソース覗いたけど、
あれちょっとひどいな。
別に悪いとは思わないけどガッツリ系で一文字変数を使っているのは初めて見た。
どういう意味の変数だとか間違えないのがすごい。
安全なアドレス演算とかできるように色々工夫しろよと。
2014/04/24(木) 22:28:59.83ID:mAzFCWAr
>>21
変数名とか、外部に公開するところはちゃんと名前つけているし
内部で閉じているところは1文字変数多用だけど可読性に支障は
無いまともなコーディングスタイル(インデントは俺好みではないけど)で
特にひどいと思わないけど、参考までにどのファイルのどのあたりを見て
そう感じたか教えてもらえますか?
2014/04/24(木) 22:30:47.78ID:mAzFCWAr
ちなみに俺が見たソースは
debian jessieにあった1.0.1g-2
2014/04/25(金) 20:19:36.11ID:dNvULdcx
LibreSSL…ネーミングがofficeと一緒やん…。
25login:Penguin
垢版 |
2014/04/25(金) 20:47:12.78ID:MFtsRUpT
本当にさよならOpenSSL。
君のクソなコードは永遠にクソでしたでってことで
幕を閉じるよ。

Heardbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ
http://www.gizmodo.jp/2014/04/heardbleedopensslopenbsd.html

VMSサポートの数千行。太古のWIN32サポートの数千行。今やWindowsもPOSIXっぽいAPIあるんだし、
ソケット用に特別に何か用意する必要ない。FIPSサポートの数千行…これがあるとほぼ自動的に
暗号化がダウングレードされちゃうからね。[...] あとはOpenSSL開発グループが12年ぐらい
前に廃止するつもりで書いたAPIの数千行、これもまだ残ってた。
あと「Cコードも9万行削除した」と、ZDNetには語ってます。それでも機能には全く影響なくて、
ちゃんと正常に動いてるそうですから、それだけOpenSSLはひどかったということに…。
2014/04/25(金) 21:58:06.62ID:Y2mVdlOV
GnuTLSをベースにしたGNUsshキボン。割とマジで。
2014/04/26(土) 16:04:03.26ID:yArm+k+l
Q:Android版のクライアントは影響を受けますか?

A:Android 4.1ではOpenSSL 1.0.1が使用されていますが、
  4.1.2以降ではheartbeatが無効化されています。  
  したがって、この脆弱性の影響を受けるのはAndroid 4.1(.0) と 4.1.1です。


ちょっと前にけっこう古い端末もアップデートきてたよね
わざわざ1コ上げて4.1.2になるとかw
ほとんどどこでも対処済みになってからニュースにしたとか疑っちゃうw
そんな中でノウノウと流出させたUFJニコスはバカというかマヌケというか阿呆としか言いようがないな
2014/04/26(土) 16:34:16.60ID:nscaymnq
>>27
4.1.2 で Heartbeat が無効化されたのは2012年で、
今回の件とは別の問題に対処するためだよ。
https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

> わざわざ1コ上げて4.1.2になるとかw
「わざわざ」ってのはよくわかんないな。
そんなにおかしい?
2014/04/26(土) 16:49:27.32ID:yArm+k+l
>>28
>古い端末もアップデートきてた
来たのは2014年2月6日

ちゃんと文章読もうねwwwwwお馬鹿さん
2014/04/26(土) 16:53:22.15ID:yArm+k+l
>>28
そうやって自分の数少ない知っている範疇で調子に乗るって
バカ丸出しでみっともない(笑)
2014/04/26(土) 16:54:15.29ID:nscaymnq
>>29
「古い端末」じゃどの機種の話かわからんからなぁ。
どの機種なん?
2014/04/26(土) 17:23:56.64ID:nscaymnq
https://www.nttdocomo.co.jp/support/utilization/product_update/list/index.html
を見てみたけど
2月にいっせいにアップデート来たって感じあんまりないな。
2014/04/26(土) 21:57:17.17ID:CdoTJHVA
ID:yArm+k+lがバカ丸出しでみっともない件w
2014/04/28(月) 08:23:16.76ID:yGZb7lyU
>>26
http://www.lysator.liu.se/~nisse/lsh/
lshが既にある。もっとも、あらかじめなんらかの別経路で
sshd host keyの情報をクライアント側が持ってないとつながりもしない
ので使うのは大変。
2014/06/06(金) 10:21:59.65ID:hNGJNi1B
またきたどー
http://ccsinjection.lepidum.co.jp/ja.html
36login:Penguin
垢版 |
2014/06/07(土) 09:34:11.88ID:zD3RZ0fg
10年間放置w
やっぱメンテナが少ないオプソは糞だわ
2014/06/07(土) 21:53:10.03ID:pCXq7OiR
放置とかいう個人的感想ありがとう
2014/06/15(日) 13:00:13.39ID:S161WKeU
むしろ、現代においては、さよならしたいと
思ってもできないレベル。それくらい普及してる。
2014/06/15(日) 13:31:23.87ID:ZUgKPHg4
× ソースコードを皆が見てる
○ ソースコードを皆が見ることは出来るけど見ているとは限らない

まさに放置だと思うけど?

支障や動機が無ければ見ないし触らないってのはどこでも普通のことで
地道な検証を善意のボランティア()頼みってのは無理筋
2014/06/16(月) 13:27:50.92ID:CXGK6EA9
笑ってお仕事の方たちも同じ感じではないでしょうか、無理ってところは
2014/06/21(土) 19:21:45.93ID:FxIwjzQH
Google Is Maintaining A "BoringSSL" Fork Of OpenSSL
http://www.phoronix.com/scan.php?page=news_item&;px=MTcyNjM
2014/06/21(土) 19:24:20.13ID:c2zCFkrs
googleが fork した OpenSSL とか何の冗談だよw
デフォでgoogle に通信内容筒抜けなんだろ?w
2014/06/21(土) 23:02:53.58ID:RJpD1qJ8
どこがやっても基本的には筒抜けですが
商用LANと切り離したネットワークをつくらないかぎり
2014/06/23(月) 08:33:45.75ID:VysHmL1h
>>42
ソース読んで具体的に指摘してやれ。
2014/06/23(月) 19:23:09.29ID:gA1tyF7P
>>44
使わなければいいだけなのに、
なんでそんな苦労をする必要があるの?
レスを投稿する


ニューススポーツなんでも実況