脆弱性関係(10/1)
■ JVNVU#864643 SSL と TLS の CBC モードに選択平文攻撃の脆弱性 (JVN, 9/28)
この辺についてのセキュリティホールmemoさんのまとめ〜
まとめると、こうですかね:
- CBC モードを使用する暗号群 (例: RSA-with-AES-256-CBC-SHA) において発現。 たとえばストリーム暗号を使用する場合 (例: RSA-with-RC4-128-SHA) には発現しない。
CPNI-957037: SSH 通信において一部データが漏えいする可能性 (2008.11) の件を思い出し、CTR モードを使えばいいのにと思ったのだけど、SSL / TLS では CTR モードは使えない (標準化されていない) のだそうで: SSL cipher mode (OpenSSL-Dev ML)
現時点では、RC4-128 で回避するのが現実的かなあ。
身近な所ではこのあたりか:
- SSL/TLS の脆弱性に関するセキュリティ アドバイザリ 2588513 を公開 (Microsoft, 9/26)
- SSL/TLS の脆弱性に関するセキュリティ アドバイザリ 2588513 を公開 (日本のセキュリティチーム, 9/27)
- TLS 暗号化通信に対する攻撃の Firefox への影響 (Mozilla Japan ブログ, 9/28)
- OpenSSL は 0.9.6d で修正されてるみたい。
■ Mozzila Firefox 7.0.1 / Thunderbird 7.0.1 (他)でました。
それぞれFirefox 7.0/Thunderbird 7.0で複数の脆弱性(Firefox / Thunderbird)に対応したが、一部環境でインストールされているいくつかのアドオンが消えてしまうという問題が発生したため修正リリースがすぐに出た。
セキュリティ以外の機能強化としては、メモリ使用量が大幅に改善とか、高速化とかあり。(確かに早くなったような気がする)
関連: