さまよえる POODLE のゾンビが TLS に忍び寄る～この犬はどこまであなたに襲いかかるつもりなのか？（The Register）

この攻撃に対して F5 キットが脆弱であると Langley は記しており、それに F5 Networks も同意した（アドバイザリが下記 URL に掲載されている）。また、このパッチには A10 ユーザーも注目すべきだと Langley は考えている。

国際 TheRegister

152 views

2014.12.15 Mon 10:30

Google は、POODLE（プードル）を車に乗せて遠い田舎町に連れだし、そこへ置き去りにして逃げ去ったかもしれない。しかし Qualys によれば、その脆弱性（POODLE）はすでに蘇り、Transaction Layer Security（TLS）に対する攻撃に再利用されているという。

この「CVE-2014-8730」と称される新しい攻撃のベクトルは、POODLE と同種の問題、つまりパディングの取り扱いのエラーを悪用しており、それは TLS 1.2 を標的としている。POODLE が標的とする SSL3 に比べると、TLS ははるかにパディングの要求が厳格だが、「一部の TLS の実装は、復号後にパディング構成のチェックを省略している」ために、その攻撃は可能なのだと Qualys は考えている。

《ScanNetSecurity》

特集

PageTop

アクセスランキング

ランキングをもっと見る

PageTop

さまよえる POODLE のゾンビが TLS に忍び寄る～この犬はどこまであなたに襲いかかるつもりなのか？（The Register）

関連記事

EFF「Verizon の不気味な supercookie ストーカーには VPN が有効だ」～複数の広告ネットワークが今、そのプライバシーの脆弱性に便乗している（The Register）

Yosemite が厄介な脆弱性「Rootpipe」で荒れる～この「シェルのアクセス権限昇格のバグ」は翌年 1 月までは修正されない（The Register）

いますぐに SSL 3.0 を無効化せよ：邪悪なプードルが HTTPS を攻撃する～とにかく急いで取り除け、それは穴だらけのチーズだ（The Register）

Oracle シェルショッカー～データベースの巨人が「まだパッチを当てられない」32 製品を発表、その一方で GNU は「第二の脆弱性」を修復（The Register）

特集

アクセスランキング

IPA が SCS評価制度の詳細を公表

医療システム開発企業のコーポレートサイトで SSL 証明書が有効期限切れ

受託業務で受領したデータの様式を同意なく別業務へ流用、非表示設定となっていたワークシート内に顧客情報が残存

村田製作所への不正アクセス第2報～顧客・取引先・従業員の個人情報不正取得を確認

デジタル庁「政府情報システムにおける脅威の検知・対応のためのログ取得・分析導入ガイドブック」に NTTデータ先端の技術者がレビュー協力

関連記事

EFF「Verizon の不気味な supercookie ストーカーには VPN が有効だ」～複数の広告ネットワークが今、そのプライバシーの脆弱性に便乗している（The Register）

Yosemite が厄介な脆弱性「Rootpipe」で荒れる～この「シェルのアクセス権限昇格のバグ」は翌年 1 月までは修正されない（The Register）

いますぐに SSL 3.0 を無効化せよ：邪悪なプードルが HTTPS を攻撃する～とにかく急いで取り除け、それは穴だらけのチーズだ（The Register）

Oracle シェルショッカー～データベースの巨人が「まだパッチを当てられない」32 製品を発表、その一方で GNU は「第二の脆弱性」を修復（The Register）

特集

アクセスランキング

IPA が SCS評価制度の詳細を公表

医療システム開発企業のコーポレートサイトで SSL 証明書が有効期限切れ

受託業務で受領したデータの様式を同意なく別業務へ流用、非表示設定となっていたワークシート内に顧客情報が残存

村田製作所への不正アクセス 第2報 ～ 顧客・取引先・従業員の個人情報不正取得を確認

デジタル庁「政府情報システムにおける脅威の検知・対応のためのログ取得・分析導入ガイドブック」に NTTデータ先端の技術者がレビュー協力

村田製作所への不正アクセス第2報～顧客・取引先・従業員の個人情報不正取得を確認