iidaの日記: nginx 1.3.0
日記 by
iida
nginx 1.3.0がリリースされていた(2012-05-15)。
Idle.slashdot.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。
iidaの日記: OpenSSL 1.0.1c, 1.0.0j, 0.9.8x
日記 by
iida
OpenSSLのTLSとDTLS (データグラムTLS) でのCBCモードの暗号法の実装に、クライアント/サーバー両側でDoSの可能な脆弱性が発覚し、セキュリティー・アドバイザリーが発行され、1.0.1c、1.0.0j、0.9.8xの各版が、いっせいにリリースされた。
DTLSの欠陥は、3系列全部だが、TLSの欠陥は、1.0.1系のみ。
- - - - -
(PS セキュリティホールmemo)
iidaの日記: 次週の「頭のしびれるテレビ」
日記 by
iida
日曜深夜、月曜の午前0:40にNHKテレビで「頭のしびれるテレビ」という深夜番組があり、 次週はRSA暗号がテーマらしい。
ま、30分のバラエティー番組なので、高が知れてはいるだろうが、しかしまあ、「誰が観るンだ、こんな時間帯」とツッコミたくなるなあ。
iidaの日記: OpenSSH 6.0
日記 by
iida
OpenSSHの6.0版がリリースされていた。
セキュリティ修正はなさそうだが、変更点には、「多数のメモリとファイルディスクリプタのリークを修正した.」とあるので、急ぎではないにしろ、アップグレードしたほうがよかろう。
- - - - -
(PS: セキュリティホールmemo)
iidaの日記: OpenSSL 1.0.1b
日記 by
iida
OpenSSL 1.0.1bがリリースされた (2012-04-26)。互換性の問題 (とリンク・エラー) が解消されただけで、セキュリティー修正は、ない。
- - - - -
(PS: 上のOpenSSLのページでは、``Compilation''とあるのだが、実際のところ、ソース (1.0.1aのe_rc4_hmac_md5.c) のコンパイルはでき、オブジェクト (e_rc4_hmac_md5.o) を含むリンクが (外部変数のOPENSSL_ia32cap_Pが未定義となるので) できない、ということ。 非x68で実際にmakeすれば、すぐにわかるはず。)
- - - - -
iidaの日記: authorityInfoAccessのcaIssuers 1
日記 by
iida
「PDFによるサイバー攻撃に国が対策、Adobe ReaderでGPKI対応、アドビが協力」だそうだが、特別なことをアドビにさせなくても、認証局側が証明書にauthorityInfoAccessのcaIssuersを入れれば、それで済むことでは?
iidaの日記: OpenSSL 0.9.8w
日記 by
iida
OpenSSL 0.9.8wがリリースされた。セキュリティー修正を含んでいる。1系のリリースは (まだ?) ない。
OpenSSL 0.9.8vで修正した脆弱性対応に不足があったようで、負の「長さ」が指定された場合のコードが追加になった。今回修正された関数の「長さ」の引数の型は、
- 0.9.8
- int
- 1.0.0
- size_t
- 1.0.1
- size_t
なので、同一のセキュリティー修正は、1系では出なさそう。
- - - - -
(PS おなじみセキュリティホールmemo)
iidaの日記: OpenSSL 1.0.1a, 1.0.0i, 0.9.8v
日記 by
iida
OpenSSLに脆弱性が発覚し、アドバイザリーが刊行された。それをうけ、昨日、OpenSSL 1.0.1a, 1.0.0i, 0.9.8vがいっせいにリリースされた。いずれもセキュリティー修正を含んでいる。
asn1_d2i_read_bio関数の脆弱性で、BIOとFILE関連の関数で、攻撃者から与えられたDER形式のデータを読み取るとき、悪用が可能になるようだ。
アドバイザリーでは、SSL/TLSのコードに影響はない、としています (メモリー上でASN.1を処理する関数だけを使っているので)。PEMルーチンだけを使っている場合も同様。
MIMEのパーザーを使っているS/MIMEやCMSのアプリケーションも、opensslのコマンド行ユーティリティーも影響を受ける。
さっそく1.0.1aをメークしようとしたら、未定義シンボルが残ってしまう。次の差分を適用した。
iidaの日記: 自己署名証明書の署名検証
日記 by
iida
X.509証明書の有効期間を管理させられる羽目になった。とりあえず自己署名証明書の署名検証をしようと思い、
openssl verify -CAfile FOO FOO
で「OK」と出た。
ニセモノのオレオレ自己署名証明書では困るので、自己署名証明書のIssuerを改ざんして実行してみたら、Issuerの証明書がないためエラーになった。それはしかたあるまい。
自己署名証明書のSubjectを改ざんして実行してみたら、これもIssuerの証明書がないためエラーになる。それもまあしかたあるまい。
自己署名証明書の署名データを改ざんして実行してみたら、「OK」が出た。
「署名データを改ざんするのはまずいか」と気を取り直し、有効期間を改ざんしてみたが、やはり「OK」が出た。
iidaの日記: CSRの識別名に改行
日記 by
iida
営業経由で顧客から質問され、CSR (「企業の社会的責任」ではなく、「証明書署名要求」の方ね :-) を調べることになった。IIS 7.xで作ったのだという。中を見てみたら、識別名の都道府県名 (stateOrProvince) の値が改行で終わっているではないか。かんべんしてくれ、IIS7!!
iidaの日記: vsftpd 3.0.0リリース
日記 by
iida
vsftpdの3.0.0版がリリースされた(PS おなじみセキュリティホールmemoへのリンク)。
相変わらずIPv6を使えないマシンではコンパイルできないので、こんなパッチを書いてみた。
iidaの日記: 小書きのガ
日記 by
iida
「片仮名のガの小書き文字は、文字コードの規格にありますか」と勤務先で質問された。どうやら「由比ガ浜」という地名の「ガ」が小書きだ、と言い張る顧客がいたらしい。ユニコードを調べてみたが、そういう文字は収録されていない。
手元の辞書で引いてみると、「由比ヶ浜」という項が立ててある。読みと見た目を間違えて覚えたのかもしれない。
iidaの日記: nginx 1.1.18
日記 by
iida
nginx 1.1.18開発版がリリースされた。
iidaの日記: Tomcat Connectors 1.2.35
日記 by
iida
Tomcat Connectorsの1.2.35版がリリースされた。1.2.34版はリリースされなかった模様。1.2.33版は回収 (withdrawn) 扱い。回収扱いは、1.2.29に次いで2度目。
iidaの日記: Safari 5.1.5
日記 by
iida
Safari 5.1.5がリリースされた。