さよならOpenSSL

1 :login:Penguin:2014/04/08(火) 19:10:22.57 ID:xvnez2vR.net
Linuxオワタ \(^o^)/

OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ
http://headlines.yahoo.co.jp/hl?a=20140408-00000015-zdn_ep-sci

10 :login:Penguin:2014/04/12(土) 22:09:02.73 ID:w6KVMh1D.net

dist-upgradeに失敗して未だにsqueezeのままの俺に死角はなかった

42 :login:Penguin:2014/06/21(土) 23:02:53.58 ID:RJpD1qJ8.net

どこがやっても基本的には筒抜けですが
商用LANと切り離したネットワークをつくらないかぎり

35 :login:Penguin:2014/06/07(土) 09:34:11.88 ID:zD3RZ0fg.net

10年間放置w
やっぱメンテナが少ないオプソは糞だわ

25 :login:Penguin:2014/04/25(金) 21:58:06.62 ID:Y2mVdlOV.net

GnuTLSをベースにしたGNUsshキボン。割とマジで。

58 :login:Penguin:2014/06/25(水) 06:45:46.63 ID:uDrha7s+.net

下がったラインが崩せないのは日本のウィークポイントだなぁ

18 :login:Penguin:2014/04/20(日) 10:13:11.78 ID:rXQ0A+qA.net

>>17
ほんとそれだからタチがわるいw

48 :login:Penguin:2014/06/23(月) 21:11:24.84 ID:gA1tyF7P.net

>>47
筒抜けだから困る、とか書いてないじゃん。
どうしてそれで、文句を言ってるとか言い出すんだろう。
やっぱ自意識過剰だよ。

22 :login:Penguin:2014/04/24(木) 22:30:47.78 ID:mAzFCWAr.net

ちなみに俺が見たソースは
debian jessieにあった1.0.1g-2

53 :login:Penguin:2014/06/24(火) 10:57:56.71 ID:v2ma19RF.net

よし、ソースは見れるんだ。

まずは「現状は筒抜けかどうかわからない」という
状態からスタートしよう。

筒抜けであることがわかれば、
「筒抜け状態」に遷移だ。その状態になれば筒抜けと言って良い。
その状態になければ、筒抜けと言っては駄目だ。

さあ「筒抜け状態」に状態遷移させることはできるかな?

34 :login:Penguin:2014/06/06(金) 10:21:59.65 ID:hNGJNi1B.net

6 :login:Penguin:2014/04/12(土) 11:03:23.21 ID:WVt/+yBp.net

Debin 7.4で
$ sudo apt-get update
$ sudo apt-get upgrade openssl
してもアップグレード:0個で
$ openssl version
すると
OpenSSL 1.01e 11 Feb 2013
のままなのよ。

どうすれば対策版になるの?

38 :login:Penguin:2014/06/15(日) 13:31:23.87 ID:ZUgKPHg4.net

× ソースコードを皆が見てる
○ ソースコードを皆が見ることは出来るけど見ているとは限らない

まさに放置だと思うけど?

支障や動機が無ければ見ないし触らないってのはどこでも普通のことで
地道な検証を善意のボランティア()頼みってのは無理筋

45 :login:Penguin:2014/06/23(月) 20:47:02.86 ID:lkUiiEbE.net

>>44
文句を言っているからでは?

つまり、無知なあんたには、
文句をいう資格はないって馬鹿にされてるのさ。

60 :login:Penguin:2014/07/14(月) 22:39:47.55 ID:5U4ayTgP.net

>>24
20万行削除w

7 :login:Penguin:2014/04/12(土) 13:04:09.03 ID:K60Xo2me.net

>>6
testing版だと既にインストール可能だったぞ。

15 :login:Penguin:2014/04/16(水) 18:48:39.76 ID:tbSRFIld.net

疑問があっても調べもせずドヤ顔でテキトーぶっこく連中ですか

30 :login:Penguin:2014/04/26(土) 16:54:15.29 ID:nscaymnq.net

>>28
「古い端末」じゃどの機種の話かわからんからなぁ。
どの機種なん?

43 :login:Penguin:2014/06/23(月) 08:33:45.75 ID:VysHmL1h.net

>>41
ソース読んで具体的に指摘してやれ。

49 :login:Penguin:2014/06/24(火) 03:31:58.03 ID:3GsQHYqa.net

いや、筒抜けじゃないでしょって所が
重要な点なんだが?

2 :login:Penguin:2014/04/08(火) 22:34:57.26 ID:LyUeDAM7.net

結局Windows Serverが安全てことだな

12 :login:Penguin:2014/04/16(水) 07:32:09.10 ID:mgdOEAd0.net

オープンソースがいかに危険か見せつけたな

4 :login:Penguin:2014/04/10(木) 14:10:23.23 ID:TwSL4uhD.net

冗談がお得意ですね

13 :login:Penguin:2014/04/16(水) 07:43:32.88 ID:hYysqqMX.net

opensslの脆弱性が最近記事になってるやん

これ変な気がするんだよなぁ
メモリーをコピられてもさ、それってユーザー空間なわけじゃないのさ?
んで、ふつうさ、コネクション毎に別のプロセス立ち上げるだろ?
つまりね、別のユーザー空間にアクセスできるわけねえんだから
そもそもメモリーをコピーしたところでなんか見れるの?
ふつうcallocすりゃメモリは0で初期化されるだろ?
他のプロセスが使ってたメモリの内容がスタック領域とかに残ってるのか?

陰謀論なら、フリーソフトではなく商用ソフトを使わせたいとかいうことかもね
でも、スノーデンが正しいならむしろそっちのほうこそ仕込まれてる可能性があるわけで・・・・

というか、仮に1つのプロセスがすべてに対応する作りだと
そもそもそれ自体がセキュアーなアーキテクチャになってないという
ほんまにそういうつくりなのか?

29 :login:Penguin:2014/04/26(土) 16:53:22.15 ID:yArm+k+l.net

>>27
そうやって自分の数少ない知っている範疇で調子に乗るって
バカ丸出しでみっともない(笑)

20 :login:Penguin:2014/04/21(月) 21:30:40.97 ID:6ByJPEKp.net

OpenSSLのソース覗いたけど、
あれちょっとひどいな。
別に悪いとは思わないけどガッツリ系で一文字変数を使っているのは初めて見た。
どういう意味の変数だとか間違えないのがすごい。
安全なアドレス演算とかできるように色々工夫しろよと。

19 :login:Penguin:2014/04/20(日) 16:16:09.52 ID:m5jTFGk1.net

何かあったら真っ先に自分たちが被害者面するノーガード戦法w

55 :login:Penguin:2014/06/24(火) 13:22:53.80 ID:EAr0IDAe.net

>>54
すみません、日本語でお願いします。

32 :login:Penguin:2014/04/26(土) 21:57:17.17 ID:CdoTJHVA.net

ID:yArm+k+lがバカ丸出しでみっともない件w

33 :login:Penguin:2014/04/28(月) 08:23:16.76 ID:yGZb7lyU.net

>>25
http://www.lysator.liu.se/‾nisse/lsh/
lshが既にある。もっとも、あらかじめなんらかの別経路で
sshd host keyの情報をクライアント側が持ってないとつながりもしない
ので使うのは大変。

51 :login:Penguin:2014/06/24(火) 04:31:38.53 ID:wSxoXDy4.net

>>49が筒抜けじゃない証拠を出せばいいんじゃね?

51 :login:Penguin:2014/06/24(火) 04:31:38.53 ID:wSxoXDy4.net

>>49が筒抜けじゃない証拠を出せばいいんじゃね?

61 :login:Penguin:2017/12/29(金) 16:24:56.06 ID:S/CsVkMC.net

誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

P19VVKK7H4

52 :login:Penguin:2014/06/24(火) 07:48:25.85 ID:EAr0IDAe.net

悪魔の証明か。

27 :login:Penguin:2014/04/26(土) 16:34:16.60 ID:nscaymnq.net

>>26
4.1.2 で Heartbeat が無効化されたのは2012年で、
今回の件とは別の問題に対処するためだよ。
https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1

> わざわざ1コ上げて4.1.2になるとかw
「わざわざ」ってのはよくわかんないな。
そんなにおかしい?

23 :login:Penguin:2014/04/25(金) 20:19:36.11 ID:dNvULdcx.net

LibreSSL…ネーミングがofficeと一緒やん…。

16 :login:Penguin:2014/04/19(土) 11:42:18.98 ID:dOha9b4T.net

【IT】OpenSSL欠陥、三菱UFJニコス894人個人情報流出か 被害判明は国内初 [4/19]
http://ai.2ch.net/test/read.cgi/newsplus/1397874984/

欠陥発覚後に即対策してないからこうなる
結局使う奴が間抜けだと何をやってもダメってこと

40 :login:Penguin:2014/06/21(土) 19:21:45.93 ID:FxIwjzQH.net

Google Is Maintaining A “BoringSSL” Fork Of OpenSSL
http://www.phoronix.com/scan.php?page=news_item&px=MTcyNjM

62 :login:Penguin:2018/05/22(火) 09:14:43.59 ID:Czl6p0FW.net

僕の知り合いの知り合いができた副業情報ドットコム
関心がある人だけ見てください。
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』

A3F8A

46 :login:Penguin:2014/06/23(月) 20:51:39.03 ID:gA1tyF7P.net

>>45
>>41をどう読めば文句を言ってるように見えるんだろう。
自意識過剰すぎなのでは?そんなんじゃ社会じゃやっていけないよ?

26 :login:Penguin:2014/04/26(土) 16:04:03.26 ID:yArm+k+l.net

Q:Android版のクライアントは影響を受けますか?

A:Android 4.1ではOpenSSL 1.0.1が使用されていますが、
  4.1.2以降ではheartbeatが無効化されています。  
  したがって、この脆弱性の影響を受けるのはAndroid 4.1(.0) と 4.1.1です。

ちょっと前にけっこう古い端末もアップデートきてたよね
わざわざ1コ上げて4.1.2になるとかw
ほとんどどこでも対処済みになってからニュースにしたとか疑っちゃうw
そんな中でノウノウと流出させたUFJニコスはバカというかマヌケというか阿呆としか言いようがないな

17 :login:Penguin:2014/04/19(土) 14:44:48.97 ID:1gdxf9St.net

>>16
本当のアホは気づいてすらいないから
ちゃんと調べて公表できるだけ優秀

47 :login:Penguin:2014/06/23(月) 20:54:29.49 ID:lkUiiEbE.net

> デフォでgoogle に通信内容筒抜けなんだろ?w

これ。 根拠が無いのに、筒抜けって言っている所。

筒抜けかどうかはソースを読めばわかることで、
調べればわかることを、調べもしないで
文句をいうなってこと。

56 :login:Penguin:2014/06/24(火) 14:27:35.89 ID:m6aejzAJ.net

わかんないようにしてますが、なにか

5 :login:Penguin:2014/04/12(土) 10:10:52.88 ID:Ov1vx28u.net

>>2
>>3 いや、正解でしょ

3 :login:Penguin:2014/04/09(水) 22:55:51.92 ID:EGNjvkTn.net

>>2
は?(威圧)

57 :login:Penguin:2014/06/24(火) 17:08:29.47 ID:U7Bc+93j.net

OpenSSLは非常に公平性がある。
従って社会正義を行うための有効なツールとなりえる。

多くの暗号関連ツールがNSAにのみ通信内容を開示する。
しかし、OpenSSLはオープンの原則に従い全ての人々に通信内容を開示する。
オープンソース支持者はまた、OpenSSLを支持している。
ソースコードの開示、通信内容の開示、どちらもオープンの原則に従っているからである。

ここで有名な言葉を引用して締めくくろう。
「情報は自由になりたがっている。」

36 :login:Penguin:2014/06/07(土) 21:53:10.03 ID:pCXq7OiR.net

放置とかいう個人的感想ありがとう

39 :login:Penguin:2014/06/16(月) 13:27:50.92 ID:CXGK6EA9.net

笑ってお仕事の方たちも同じ感じではないでしょうか、無理ってところは

24 :login:Penguin:2014/04/25(金) 20:47:12.78 ID:MFtsRUpT.net

本当にさよならOpenSSL。
君のクソなコードは永遠にクソでしたでってことで
幕を閉じるよ。

Heardbleed禍のOpenSSLは「もはや修復不能」。OpenBSDがフォーク版開発へ
http://www.gizmodo.jp/2014/04/heardbleedopensslopenbsd.html

VMSサポートの数千行。太古のWIN32サポートの数千行。今やWindowsもPOSIXっぽいAPIあるんだし、
ソケット用に特別に何か用意する必要ない。FIPSサポートの数千行…これがあるとほぼ自動的に
暗号化がダウングレードされちゃうからね。[…] あとはOpenSSL開発グループが12年ぐらい
前に廃止するつもりで書いたAPIの数千行、これもまだ残ってた。
あと「Cコードも9万行削除した」と、ZDNetには語ってます。それでも機能には全く影響なくて、
ちゃんと正常に動いてるそうですから、それだけOpenSSLはひどかったということに…。

59 :login:Penguin:2014/06/25(水) 07:42:16.63 ID:YHij10O+.net

>>58
OpenSSLがこんなだからね。

参考になったらSNSでシェアお願いします!

レスを投稿する(名前省略可)

この記事を読んだ方へのおすすめ

  • ふらっとC#,C♯,C#(初心者用) Part92

    元スレ 1 :名無しさん@お腹いっぱい。:2012/04/26(木) 21:32:32.95 ID:RzRn9VkL0.net ふらっとVisual C#,C♯,C#(初心者用) このスレッドは 「どんなにくだらないC#…

  • SignalNow X 関連ツール 5

    元スレ 1 :名無しさん@お腹いっぱい。:2018/09/16(日) 14:03:02.78 ID:fwCrhdz30.net [公式] ストラテジー株式会社 http://www.estrat.co.jp/ Signa…

  • 数値計算がしたいんだけど

    元スレ 1 :へ:02/11/04 21:27 ID:3Pgqsv0r.net LINUX使って数値計算したいんだけどさ、 クラスタリングでもなんでもいいから どの程度のパフォーマンスがでるかお前ら知ってるの? 知ってる…

  • 【Linux】ザウルス開発系スレッド-5【SL】

    元スレ 1 :login:Penguin:04/11/26 07:05:40 ID:9HEdPZch.net Linuxザウルスの開発スレです。マターリ情報交換しましょう。 各ソフト利用方法の質問はユーザスレに行った方が…

  • QuickTime氏ねなの〜

    元スレ 1 :ノクマーン○(・(ェ)・)○ ◆j5jVuxWdss :2006/05/08(月) 04:53:05 ID:JktStKDO0.net webで起動させただけで常駐してんじゃねえの〜 118 :117:20…

  • Opera12(Presto) Part9

    元スレ 1 :名無しさん@お腹いっぱい。:2019/07/04(木) 21:01:03.94 ID:ZFINKMwC0.net より優れたブラウジング―― Opera12.18 ここは旧版Operaブラウザのスレッドです…

  • NES/FCエミュレーター総合スレ7

    元スレ 1 :名無しさん@お腹いっぱい。 :2019/02/01(金) 11:45:34.10 ID:KR0Ffu270.net Nestopia (2008年に開発終了) http://nestopia.sourcef…

  • 【PSVita】 2chSharp 【Android】 part2

    元スレ 1 :名無しさん@お腹いっぱい。:2014/06/06(金) 13:15:27.36 ID:y4iR+MCQ0.net PlayStation Mobileの2chブラウザ 2chSharpのスレッドです 公式 …

  • おまえの hddparm -tT 教えてください。

    元スレ 1 :login:Penguin:01/10/07 18:10 ID:8G/SeCEs.net bash# cat /proc/ide/hda/model TOSHIBA MK6015MAP /dev/hda: …

  • OSの正式名称はGNU。妥協してもGNU/Linux

    元スレ 1 :リチャード・ストールマン:2016/02/21(日) 15:08:53.78 ID:hAUzvqKp.net GNUという名前のOSをLinuxと嘘の名前で呼ぶのはやめてください。 ちゃんとGNUと呼んでく…

  • ▲▽システムバックアップソフト徹底比較△▼ No.24

    元スレ 1 :名無しさん@お腹いっぱい。:2017/10/01(日) 21:39:03.71 ID:3EDzGt7E0.net 前スレ ▲▽システムバックアップソフト徹底比較△▼ No.22 http://potato.…

  • CentBrowser Part3 【Chromium派生ブラウザ】

    元スレ 1 :名無しさん@お腹いっぱい。:2018/02/22(木) 17:33:50.57 ID:cU7X6U9v0.net ■配布元 https://www.centbrowser.com/ ■CentBrowser…

最近のコメント

匿名 : 合同会社グラウンドステップ 被害者の会 part2
 吉川利幸さんが社長を務めるランサーズでの評価 すご... (5/05)
匿名 : Opera12(Presto) Part8
 Dragonflyが使えなくなったorg (6/25)
匿名 : あえてコマンドライン禁止のLinux
 いまではほとんどのディストリのインストで日本語環境までコマン... (6/15)
ページTOPへ↑