SlideShare una empresa de Scribd logo

Lessons (to be) Learned from Handling OpenSSL Vulnerabilities

J
JPCERT Coordination Center

オープンソースカンファレンス福岡2014の講演資料です

Software
1 de 44
Descargar para leer sin conexión
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities 2014年年11⽉月22⽇日 +1$35コーディネーションセンター 情報流流通対策グループ 脆弱性解析チームリーダー 久保 正樹
年年に +1$35$$がハンドリングした 0QFO44-の脆弱性 を振り返る Copyright©2014 JPCERT/1 CC All rights reserved.
OpenSSL とは ! 暗号化の機能(SSL/TLS/DTLS)を提供するライブラリ ! オープンソース ! Apache License 1.0 ! LibreSSL (OpenBSD) と boringssl (Google) に最近 フォーク ! 多くのサーバで利利⽤用されている ! ⼀一部のクライアントでも使⽤用されている — Android (SSLSocketFactory等), Chrome for Android 等 Copyright©2014 JPCERT/CC All rights reserved. 2
SSL/TLS 関連の脆弱性 (2014) ! OpenSSL 関連 Copyright©2014 JPCERT/CC All rights reserved. 3 4⽉月8⽇日JVNVU#94401838OpenSSL の heartbeat 拡張に情報漏漏えいの 脆弱性 6⽉月6⽇日JVN#61247051OpenSSL における Change Cipher Spec メッセージの処理理に脆弱性 8⽉月11⽇日JVNVU#93614707OpenSSL クライアントにナルポインタ参照の 脆弱性 10⽉月16⽇日JVNVU#98283300SSLv3 プロトコルに暗号化データを解読され る脆弱性(POODLE 攻撃)
SSL/TLS 関連の脆弱性 (2014) ! サーバ証明書を検証しない問題 — JVNで11件公表 — Androidアプリに多数⾒見見つかる ! SslError回避のバッドノウハウ流流布が原因? — USでは、連邦取引委員会(FTC)が問題視して2社を指導 ! 関⻄西オープンソース2014で JPCERT ⼾戸⽥田が講演 — 〜~誰かの失敗を他⼭山の⽯石に〜~脆弱性事例例に学ぶセキュア コーディング「SSL/TLS証明書検証編」 — https://k-of.jp/2014/session/563 Copyright©2014 JPCERT/CC All rights reserved. 4
Copyright©2014 JPCERT/5 CC All rights reserved. 20 5 7 8 8 11 3 3 5 1 4 7 4 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 25 20 15 10 5 0 OpenSSLの脆弱性 (件数) TPVSDFIUUQTXXXPQFOTTMPSHOFXTWVMOFSBCJMJUJFTIUNM
情報セキュリティ早期警戒パートナーシップ Copyright©2014 JPCERT/CC All rights reserved. 6 発⾒見見者 IPA (受付) JPCERT/CC (調整) 開発者の皆さん 個⼈人 企業 オープンソース コミュニティ JVN (公表) エンドユーザ 企業ユーザ マスメディア SIer などなど CERT/CC NCSC-‐‑‒FI (調整)
5IF)FBSUCMFFE#VH Copyright©2014 JPCERT/CC All rights reserved. 7
Heartbleed 脆弱性とは ! プロセスメモリ上のTLS 秘密鍵が漏漏洩する問題 ! OpenSSL 1.0.1 が影響を受ける ! Codenomicon の研究者が脆弱性を発⾒見見 — のちに Google も同時に問題を発⾒見見していたことが判明 サーバ Copyright©2014 JPCERT/CC All rights reserved. 8 クライアント 攻撃リクエスト 秘密鍵、認証情報
時系列列 +1$35 Copyright©2014 JPCERT/CC All rights reserved. 9 4⽉月6⽇日(⽇日) 20:08 NCSC-FI Jussi からメール受信 • 脆弱性の概要 • FI は OpenSSL に通知済み • 2つの依頼 • CVE 割当て • ベンダのリストアップ 時間は65$
4⽉月7⽇日(⽉月) 16時 電話:NCSC-FI → JPCERT/CC 22:24 CERT/CC が vultures にメール • CVE-2014-0346 を割当て 4⽉月9⽇日(⽔水) 15:46 IIJ から VS⼊入⼒力力 4⽉月11⽇日(⾦金金) 12:48 ⽇日本マイクロソフトからVS⼊入⼒力力 最終的に国内社に⾃自社の対応状況を +7/で公表していただきました 4⽉月8⽇日(⽕火) 08:18 アドバイザリ公表を確認 09:48 CERT/CC アドバイザリ公表の連絡 11:42 CERT/CC 「OpenSSL か Cloudflare が 早く公開してしまったのか?」 15:00 JVN 公開、国内50社に公表通知のメー ル ① ② ③ ④ ⑤
時系列列 0QFO44- 4⽉月6⽇日(⽇日) 20:08 NCSC-FI Jussi からメール受信 4⽉月8⽇日(⽕火) 00:19 FI が Mark Cox / Ben Laurie に Codenomicon の脆弱性を通知 01:11 OpenSSL コアチームメンバー に情報が展開される • 同⽇日に2組織が同じ脆弱性を発⾒見見し Copyright©2014 JPCERT/CC All rights reserved. 10 • 脆弱性の概要 • FI は OpenSSL に通知済み • 2つの依頼 • CVE 割当て • ベンダのリストアップ 時間は65$
4⽉月1⽇日 Google → OpenSSL に脆弱性とパッチの連絡 Google → 他のインフラプロバイダにも通知 4⽉月7⽇日 14:56 OpenSSL が Red Hat に通知 15:10 Red Hat が oss-security の distros に情報展開 • 詳細はふせられた • 影響バージョン、9⽇日公開の エンバーゴーに基づき、OpenSSL が詳細 を distro に展開 17:15 SuSE 17:16 Debian 17:49 FreeBSD 19:00 AltLinux 20:30 Ubuntu (リクエストベース) 23:14 Gentoo (リクエストベース) 4⽉月7⽇日(⽉月) 16時 電話:NCSC-FI → JPCERT/CC 22:24 CERT/CC が vultures にメール • CVE-2014-0346 を割当て 4⽉月9⽇日(⽔水) 15:46 IIJ から VS⼊入⼒力力 4⽉月11⽇日(⾦金金) 12:48 ⽇日本マイクロソフトからVS⼊入⼒力力 4⽉月8⽇日(⽕火) 08:18 アドバイザリ公表を確認 09:48 CERT/CC アドバイザリ公表の連絡 11:42 CERT/CC 「OpenSSL か Cloudflare が 早く公開してしまったのか?」 15:00 ていJVN るこ公開と、か国ら内、50公社開に公表通知のメー ル を決定 02:25 OpenSSL がウェブページを アップデート&アドバイザリ準備 03:39 OpenSSL がアドバイザリ公開 ① ② ③
脆弱性公表について ! 0QFO44-が直接連絡したのは-JOVY%JTUSP社だけ ˋ 3FE)BU 4V4 %FCJBO 'SFF#4% MU-JOVY ˋ 残りの EJTUSPは PTTTFDVSJUZ経由 ! LBNBJ $MPVEBSF 'BDFCPPLには事前にパッチが提供 されていた ˋ (PPHMF経由で連絡が⾏行行っていたと推測される ! 詳しい経緯 ˋ 5IF4ZEOFZ.PSOJOH)FSBMEˊ)FBSUCMFFEEJTDMPTVSF UJNFMJOFXIPLOFXXIBUBOEXIFO Copyright©2014 JPCERT/CC All rights reserved. 11
Lessons Learned ! 調整機関 (JPCERT, CERT/CC, NCSI-FI) は調整相⼿手しか⾒見見 えなかった ! OpenSSL ⾃自⾝身も限られた情報に基づきハンドリング — 前倒し公表は適切切であったといえる Copyright©2014 JPCERT/CC All rights reserved. 12 事前通知リークの 可能性
$$4*OKFDUJPO7VMOFSBCJMJUZ Copyright©2014 JPCERT/CC All rights reserved. 13
CCS Injection 脆弱性とは ! サーバとクライアントが暗号化通信を開始する⼿手順(ハン ドシェイク)の途中で、不不正な信号 (change_cipher_spec)を受け取ると、通信に使わ れる暗号鍵が予測可能なものになる — 通信内容の解読、なりすましに悪⽤用される ! 中間者攻撃が必要 ! レピダムの菊池さんが発⾒見見者 — 『OpenSSLのバグを⾒見見つけた話』 — http://www.iij-ii.co.jp/lab/seminars/ Copyright©2014 JPCERT/CC All rights reserved. 14
Copyright©2014 JPCERT/15 CC All rights reserved. サーバ クライアント CCS Injection 中間者攻撃により 暗号化された通信を 攻撃者に解読される
SSL/TLS のハンドシェイク Copyright©2014 JPCERT/CC All rights reserved. 16
時系列列 +1$35 Copyright©2014 JPCERT/CC All rights reserved. 17 ⽉月⽇日 ⽔水 *1から届け出の連絡 ⽉月⽇日 ⽊木 発⾒見見者から追加情報 ⽉月⽇日 ⾦金金 発⾒見見者から追加情報 検証詳細情報翻訳開始 ⽉月⽇日 ⽊木 0QFO44-に詳細送付 ⽉月⽇日 ⽊木 発⾒見見者から追加情報 ⽉月⽇日 ⾦金金 発⾒見見者から$35$$にも連絡したとのこと ⽉月⽇日 ⽉月 発⾒見見者から追加情報 パッチ $35$$に連絡 ⽉月⽇日 ⽔水 /$4$'*に連絡 国内約社に概要通知 ⽉月⽇日 ⽊木 ⽉月上旬公開を社に通知 ⽉月⽇日 ⽊木 0QFO44-、/$4$'*アドバイザリ公開 ⽉月⽇日 ⾦金金 +7/公開(XEBZTEBZT)
/$4$'* Copyright©2014 JPCERT/18 CC All rights reserved. +1$35 $35$$ 研究者 レピダム菊池さん *1 ML (oss-distros) -JOVY'SFF#4% 国内社 ハンドリングの実態 CCS Injection 他の研究者 案件 海外社
ハンドリング中に頂いた質問1 Copyright©2014 JPCERT/CC All rights reserved. 19 弊社の製品も対策が必要だが、 OpenSSL からパッチやアドバイザリーは まだ出ていなません。 弊社側でOpenSSLのサイトを⾒見見続ける必要があるの でしょうか。 それとも JPCERT からのアナウンスを待つことにな るでしょうか。
回答1 OpenSSL のアドバイザリを最短・確実に⼊入⼿手する⽅方法 1. OpenSSL のアドバイザリを地道にウォッチ 2. JPCERT からの JVN 公開通知を待つ 3. oss-security ML を購読 — OpenSSL アドバイザリ公開とほぼ同時にメールが流流れる — 技術ネタのトラフィックがそれなりにあるので、⾒見見落落と さないように気をつけないとダメ JVN では、JPCERT/CC や CERT/CC が調整していない案件で も、脅威度度の⾼高いと判断される脆弱性についてはアドバイ ザリを公開します — ex. POODLE Copyright©2014 JPCERT/CC All rights reserved. 20
ハンドリング中に頂いた質問2 Copyright©2014 JPCERT/CC All rights reserved. 21 早期警戒パートナーシップガイドライン 1 また、+1$35$$は、044に関する事前通知を、開発者コミュニティに加え て、必要に応じて以下へ通知します。 ・044を導⼊入した製品の開発者 ・ディストリビュータ・製品の仕様を決定するサービス提供者(例例:携帯電 話会社) これは、開発者コミュニティによる脆弱性対応が困難でかつ発表もされない 場合に、当該 044を導⼊入した製品の開発者やディストリビュータ、製品の仕 様を決定するサービス提供者は、その事実を知りうる⼿手段がないが、社会的 影響を考慮するとそれらの脆弱性対応が重要であるケースが想定されるため です。 今回の0QFO44-は⽉月にパッチがリリースされるので上記には該当しないと理理解。 情報公開前に脆弱性情報を通知した意図は何でしょう?(普段のフローとは違って ⾒見見えた)
回答2 ! 044脆弱性の事前通知は、#*/%やQBDIF5PNDBUの 脆弱性でもこれまでやってます ˋ 脆弱性の詳細や検証コードまでそろった形で情報提供した 点が普段と違って⾒見見えたのかも ! これまで「せめて公開⽇日は知りたい」「パッチの事前提 供を受けたい」などの要望がある中での情報提供 Copyright©2014 JPCERT/CC All rights reserved. 22
Lessons (to be) Learned Copyright©2014 JPCERT/CC All rights reserved. 23
+1$35̞開発者 ! 事前情報提供は、開発者の皆さんの役にほんとうに⽴立立っ たのだろうか? — 今回は運良良く、レピダム菊池さん提供の精度度の⾼高い検証 データがあった — OpenSSL からパッチの事前提供はなし — あくまでOpenSSL が修正した6件の脆弱性のうちの1つ ! 「メディアでも話題になる重要案件は社内調整もあり役 に⽴立立ちます」という声も Copyright©2014 JPCERT/CC All rights reserved. 24
+1$35̞開発者 ! フィードバックはとてもありがたいです — 検証結果を共有して下さった IIJ、ヤマハ、横河電機 — 特に IIJ さんの影響範囲に関する分析は、アドバイザリ作 成時に参考にさせて頂きました Copyright©2014 JPCERT/CC All rights reserved. 25
+1$35̞0QFO44- ! ミドルマンにならないために — 発⾒見見者から、IPA/JPCERT、CERT/CC、OpenSSLの3者に連 絡が⾏行行ってしまった — OpenSSL に x 3++ のやり取りが発⽣生 ! 余計な負担がフラストレーションを招く結果に Copyright©2014 JPCERT/CC All rights reserved. 26
+1$35̞$35$$]/$4$'* ! 国際連携の認知度度向上キャンペーン — 連携していることが知られていない — 調整機関 ML (vultures) — 開発者、研究者に対し国際連携の理理解を広める活動 ! Next vultures F2F meeting — 2015年年春@RSA Conference — US の Vendor ミーティングと共催 Copyright©2014 JPCERT/CC All rights reserved. 27
脆弱性発⾒見見者・研究者の皆さんに知っておいてほしいこと ! まずは JPCERT/CC, IPA にご連絡を — 開発者との調整活動を⾏行行っているCERT組織は世界で3つ ! JPCERT/CC, CERT/CC, NCSC-FI — NDAを結んで連携しています ! JPCERT/CC は CVE の採番機関です ! 海外の開発者とも普段からやりとりしています — Adobe, Apple, Google, Android, OpenSSL etc… ! JPCERT/CC は Responsible Disclosure の精神にのっとっ て調整します Copyright©2014 JPCERT/CC All rights reserved. 28
OSS開発者の皆さんに知っておいてほしいこと ! 2つのポリシーがあるとスムーズです ! 脆弱性取扱いポリシー — 脆弱性の届け出先アドレス — 対応の流流れ — 脆弱性公表ページ — セキュリティ問題に「前向き」な姿勢 ! 脆弱性公表ポリシー — ユーザがリスクを判断できる情報の公表 — 脆弱性のリスクを低減する⽅方法の提⽰示(パッチ、ワークア ラウンド) — 発⾒見見者・研究者に対する acknowledge Copyright©2014 JPCERT/CC All rights reserved. 29
OpenSSL の セキュリティポリシー Copyright©2014 JPCERT/CC All rights reserved. 30
0QFO44-4FDVSJUZ1PMJDZ ! 年年⽉月⽇日に第版が公開された ˋ IUUQTXXXPQFOTTMPSHBCPVUTFDQPMJDZIUNM ! 脆弱性を段階の脅威に分類してハンドリング ˋ 低:開発中のブランチで即修正。必要に応じてバックポー ト ˋ 中:次のセキュリティYでまとめて修正 ˋ ⾼高:なる早でバージョンアップ対応(サポート中のバー ジョンのみ) ! 事前通知は、基本的に 04EJTUSPに対してのみ ˋ 調整機関に事前通知やパッチ提供は⾏行行わない Copyright©2014 JPCERT/CC All rights reserved. 31
参考 *4$7VMOFSBCJMJUZ%JTDMPTVSF1PMJDZ ! *4$ の 7VMOFSBCJMJUZ%JTDMPTVSF1PMJDZ が 付けで 更更新された ! #FGPSF ˋ +1$35はメーリングリスト経由で事前提供を得ていた ! GUFS ˋ サポート顧客、%/4 オペレータ、04 ディストリビュータ のみが事前提供を受けることとなった ! +1$35$$ は、公開当⽇日に *4$ から公開の連絡を受け、 各⽅方⾯面 国内開発者、1$35、1BD$35、GSJDB$35 への展開を⾏行行う予定 ! 詳細:IUUQTLCJTDPSHBSUJDMF Copyright©2014 JPCERT/CC All rights reserved. 32
ご静聴ありがとうございました 5IBOLZPV Copyright©2014 JPCERT/33 CC All rights reserved.
参考資料料 OpenSSL Security Policy Last modified 7th September 2014 全訳 Copyright©2014 JPCERT/CC All rights reserved. 34
はじめに *OUSPEVDUJPO 3FDFOUBXTIBWFDBQUVSFEUIFBUUFOUJPOPGUIFNFEJBBOEIJHIMJHIUFEIPX NVDIPGUIFJOUFSOFUJOGSBTUSVDUVSFJTCBTFEPO0QFO44-8FWFOFWFS QVCMJTIFEPVSQPMJDZPOIPXXFJOUFSOBMMZIBOEMFTFDVSJUZJTTVFTUIBU QSPDFTTCFJOHCBTFEPOFYQFSJFODFBOEIBTFWPMWFEPWFSUIFZFBST 昨今の 0QFO44-の ⽋欠陥はメディアの注⽬目を集め、いかに多くのインターネッ ト基盤が0QFO44-に依存しているかを浮き彫りにした。我々 0QF44- はこれ まで、内部でどのようにセキュリティ問題を取り扱うかのポリシーを公開した ことはない。ハンドリングプロセスは、経験に基づくものであり、年年⽉月を経て 発展してきた。 Copyright©2014 JPCERT/CC All rights reserved. 35
セキュリティ問題の報告について 3FQPSUJOHTFDVSJUZJTTVFT 8FIBWFBOFNBJMBEESFTTXIJDIDBOCFVTFEUPOPUJGZVTPGQPTTJCMFTFDVSJUZ WVMOFSBCJMJUJFTTVCTFUPG0QFO44-UFBNNFNCFSTSFDFJWFUIJTNBJM BOE NFTTBHFTDBOCFTFOUVTJOH1(1FODSZQUJPO'VMMEFUBJMTBSFBUIUUQT XXXPQFOTTMPSHOFXTWVMOFSBCJMJUJFTIUNM 問題の可能性があるセキュリティ脆弱性を我々に通知するためのメールアドレスを 我々は設けている。0QFO44-開発チームの⼀一部のメンバーがこのメールを受信する。 メッセージは1(1で暗号化してもよい 訳注 。詳細はこのページを参照してほしい IUUQTXXXPQFOTTMPSHOFXTWVMOFSBCJMJUJFTIUNM 8IFOXFBSFOPUJFEBCPVUBOJTTVFXFFOHBHFSFTPVSDFTXJUIJOUIF0QFO44- UFBNUPJOWFTUJHBUFBOEQSJPSJUJTFJU8FNBZBMTPVUJMJTFSFTPVSDFTGSPNUIF FNQMPZFSTPGPVSUFBNNFNCFST BTXFMMBTPUIFSTXFIBWFXPSLFEXJUICFGPSF 問題の通知を受け取ると、0QFO44-開発チームの中でリソースを確保し、問題の調 査と優先度度付けを⾏行行う。場合によっては、メンバーの雇⽤用主のリソースを借りたり、 過去の協⼒力力者の⼒力力を借りることもある。 Copyright©2014 JPCERT/CC All rights reserved. 訳注 PQFOTTMTFDVSJUZ!PQFOTTMPSHの鍵 LFZ*% は今や誰も復復号でき ないらしく、この鍵で暗号化すると怒怒られます。0QFO44-$PSFBOE%FWFMPQNFOU 5FBN開発者個⼈人の1(1鍵を使いましょう。 36
背景事情 #BDLHSPVOE WFSZPOFXPVMEMJLFUPHFUBEWBODFOPUJDFPGTFDVSJUZJTTVFTJO0QFO44-5IJTJTBDPNQMFYUPQJDBOEXFOFFEUPTFUPVUTPNF CBDLHSPVOEXJUIPVSOEJOHT 誰しも 0QFO44-のセキュリティ問題の事前通知を受けたいだろう。これは⼀一筋縄ではいかない話題であり、我々が発⾒見見した背景 事情を⽰示す必要がある。 5IFNPSFQFPQMFZPVUFMMJOBEWBODFUIFIJHIFSUIFMJLFMJIPPEUIBUBMFBLXJMMPDDVS8FIBWFTFFOUIJTIBQQFOCFGPSF CPUI XJUI0QFO44-BOEPUIFSQSPKFDUT 事前により多くの⼈人に知らせれば、情報がリークする可能性がそれだけ⾼高くなる。0QFO44-でも他のプロジェクトでも、これま でにリークの発⽣生を⽬目にしている。 IVHFOVNCFSPGQSPEVDUTGSPNBOFRVBMMZMBSHFOVNCFSPGPSHBOJTBUJPOTVTF0QFO44-*UTOPUKVTUTFDVSFXFCTJUFT ZPVSF KVTUBTMJLFMZUPOE0QFO44-JOTJEFZPVSTNBSU57 DBS PSGSJEHF ⾮非常多くの組織、これまた⾮非常に多くの製品が 0QFO44-を使っている。0QFO44-はウェブサイトをセキュアにするためだけに 使われているわけではなく、スマート57や⾞車車、冷冷蔵庫などでも使われている。 8FTUSPOHMZCFMJFWFUIBUUIFSJHIUUPBEWBODFQBUDIFTJOGPTIPVMEOPUCFCBTFEJOBOZXBZPOQBJENFNCFSTIJQUPTPNF GPSVN:PVDBOOPUQBZVTUPHFUTFDVSJUZQBUDIFTJOBEWBODF パッチやセキュリティ情報を事前に⼊入⼿手する権利利は、とあるフォーラムの有料料メンバーシップのような形態に基づくべきでない、 と我々は強く信じている。我々にお⾦金金を払ったからといって、セキュリティパッチは事前に⼿手に⼊入らない。 8FDBOCFOFUGSPNQFFSSFWJFXPGUIFQBUDIFTBOEBEWJTPSZ,FFQJOHTFDVSJUZJTTVFTQSJWBUFNFBOTUIFZDBOUHFUUIFMFWFM PGUFTUJOHPSTDSVUJOZUIBUUIFZPUIFSXJTFXPVME パッチやアドバイザリのピアレビューから、我々は恩恵をうけることができる。セキュリティ問題をプロジェクト内に留留めると いうことは、公開することで得られるレベルのテストや検証を得られないということである。 *UJTOPUBDDFQUBCMFGPSPSHBOJTBUJPOTUPVTFBEWBODFOPUJDFJONBSLFUJOHBTBDPNQFUJUJWFBEWBOUBHF'PSFYBNQMFJGZPVIBE CPVHIUPVSQSPEVDUVTFEPVSTFSWJDFZPVXPVMEIBWFCFFOQSPUFDUFEBXFFLBHP˒ 組織が事前通知をマーケティング上、他社を出し抜くために利利⽤用することは受け⼊入れられない。たとえば「我々の製品サービス を買えば、週間前に防御できますよ」など Copyright©2014 JPCERT/CC All rights reserved. 37
背景事情 #BDLHSPVOE 5IFSFBSFBDUVBMMZOPUBMBSHFOVNCFSPGTFSJPVTWVMOFSBCJMJUJFTJO0QFO44-XIJDINBLFJUXPSUITQFOEJOH TJHOJDBOUUJNFLFFQJOHPVSPXOMJTUPGWFOEPSTXFUSVTU PSTJHOJOHGSBNFXPSLBHSFFNFOUT PSEFBMJOHXJUI DIBOHFT BOEQPMJDJOHUIFQPMJDZ5IJTJTBTJHOJDBOUBNPVOUPGFPSUQFSJTTVFUIBUJTCFUUFSTQFOUPOPUIFSUIJOHT 実際のところ 0QFO44-にそれほど多くの深刻な脆弱性は存在しない。したがって、我々が信頼できるベンダのリスト を維持したり、 事前通知のための フレームワークの契約を結んだり、契約の変更更に対応したり、ポリシーを守らせる ことに膨⼤大な時間を費やす価値はない。 8FIBWFQSFWJPVTMZVTFEUIJSEQBSUJFTUPIBOEMFOPUJDBUJPOGPSVTJODMVEJOH$1/* P$35 PS$35$$ CVUOPOF XFSFTVJUBCMF 過去に $1/* P$35 $35$$など第三者機関を使って通知を⾏行行ったことがあるが、どれも適切切ではなかった。 *UTJOUIFCFTUJOUFSFTUTPGUIF*OUFSOFUBTBXIPMFUPHFUYFTGPS0QFO44-TFDVSJUZJTTVFTPVURVJDLMZ0QFO44- FNCBSHPFTTIPVMECFNFBTVSFEJOEBZTBOEXFFLT OPUNPOUITPSZFBST インターネット全体として考えると、最も肝⼼心なことは、0QFO44-のセキュリティ修正を皆にいち早く提供すること である。0QFO44-のエンバーゴーは、⽉月年年単位ではなく、⽇日や週の単位で計られるべきものだ。 .BOZTJUFTBFDUFECZ0QFO44-JTTVFTXJMMCFSVOOJOHBWFSTJPOPG0QFO44-UIFZHPUGSPNTPNFWFOEPS BOEMJLFMZ CVOEMFEXJUIBOPQFSBUJOHTZTUFN 5IFNPTUFFDUJWFXBZGPSUIFTFTJUFTUPHFUQSPUFDUFEJTUPHFUBOVQEBUFE WFSTJPOGSPNUIBUWFOEPS4JUFTXIPVTFUIFJSPXO0QFO44-DPNQJMBUJPOTTIPVMECFBCMFUPIBOEMFBRVJDLQBUDI BOESFDPNQJMFPODFUIFJTTVFJTQVCMJD 0QFO44-の影響を受けるサイトの多くは、なんらかのベンダーから⼊入⼿手した0QFO44-を運⽤用しているだろう 04にバ ンドルされている可能性が⾼高い 。これらのサイトを保護する最も効率率率的な⽅方法は、 管理理者が ⼊入⼿手元のベンダーから アップデート版を⼊入⼿手することである。独⾃自にコンパイルした0QFO44-を使⽤用するサイトであれば、パッチが公開さ れれば、 ⾃自分で 対処できるだろう。 Copyright©2014 JPCERT/CC All rights reserved. 38
0QFO44-内でのセキュリティ問題のハンドリング *OUFSOBMIBOEMJOHPGTFDVSJUZJTTVFT 5IJTMFBETVTUPPVSQPMJDZGPSTFDVSJUZJTTVFTOPUJFEUPVTPSGPVOECZPVSUFBNXIJDIBSFOPUZFU QVCMJD これらの事情を踏まえ、我々に通知された、あるいは我々⾃自⾝身が発⾒見見した未公開のセキュリティ問題 について、独⾃自の取り扱いポリシーを定めた。 QSJWBUFNFBOTLFQUXJUIJOUIF0QFO44-EFWFMPQNFOUUFBN ⾮非公開 QSJWBUF とは 0QFO44-開発チーム内に情報が留留まるということを指す。 8FXJMMEFUFSNJOFUIFSJTLPGFBDIJTTVFCFJOHBEESFTTFE8FXJMMUBLFJOUPBDDPVOUPVSFYQFSJFODF EFBMJOHXJUIQBTUJTTVFT WFSTJPOTBFDUFE DPNNPOEFGBVMUT BOEVTFDBTFT8FEJWJEFUIFJTTVFT JOUPUIFGPMMPXJOHDBUFHPSJFT 我々は個々の問題がもたらすリスクを判断する。過去に問題を取り扱った経験や、影響を受けるバー ジョン、⼀一般的なデフォルトの設定、ユースケースを考慮する。そうして問題を次のカテゴリーに分 類する。 Copyright©2014 JPCERT/CC All rights reserved. 39
0QFO44-内でのセキュリティ問題のハンドリング *OUFSOBMIBOEMJOHPGTFDVSJUZJTTVFT • MPXTFWFSJUZJTTVFT5IJTJODMVEFTJTTVFTTVDIBTUIPTFUIBUPOMZBFDUUIFPQFOTTMDPNNBOEMJOFVUJMJUZ VOMJLFMZ DPOHVSBUJPOT PSIBSEUPFYQMPJUUJNJOH TJEFDIBOOFM BUUBDLT5IFTFXJMMJOHFOFSBMCFYFEJNNFEJBUFMZJO MBUFTUEFWFMPQNFOUWFSTJPOT BOENBZCFCBDLQPSUFEUPPMEFSWFSTJPOTUIBUBSFTUJMMHFUUJOHVQEBUFT8FXJMM VQEBUFUIFWVMOFSBCJMJUJFTQBHFBOEOPUFUIFJTTVF$7JOUIFDIBOHFMPHBOEDPNNJUNFTTBHF CVUUIFZNBZOPU USJHHFSOFXSFMFBTFT • 脅威度度低。このカテゴリーには PQFOTTMコマンドラインツール、⼀一般的でない設定、脆弱性の悪⽤用が困難なタイミ ング依存 サイドチャンネル の攻撃などが含まれる。基本的には最新のバージョンで修正され、アップデートを提供 している過去のバージョンにもバックポートする可能性がある。脆弱性のページをアップデートし、DIBOHFMPHや コミットのメッセージで$7に⾔言及するが、新規バージョンリリースのトリガーにはならないかもしれない。 • NPEFSBUFTFWFSJUZJTTVFT5IJTJODMVEFTJTTVFTMJLFDSBTIFTJODMJFOUBQQMJDBUJPOT BXTJOQSPUPDPMTUIBUBSFMFTT DPNNPOMZVTFE TVDIBT%5-4 BOEMPDBMBXT5IFTFXJMMJOHFOFSBMCFLFQUQSJWBUFVOUJMUIFOFYUSFMFBTF BOE UIBUSFMFBTFXJMMCFTDIFEVMFETPUIBUJUDBOSPMMVQTFWFSBMTVDIBXTBUPOFUJNF • 脅威度度中。クライアントアプリの異異常終了了、⼀一般的には使われることのないプロトコル たとえば%5-4 の⽋欠陥、 ローカル エクスプロイト可能な? ⽋欠陥などが含まれる。このカテゴリーの問題は基本的に次のリリースまで⾮非公開 にされる。このカテゴリーの複数の⽋欠陥をまとめて修正するようなスケジュールでパッチが公開される。 • IJHITFWFSJUZJTTVFT5IJTJODMVEFTJTTVFTBFDUJOHDPNNPODPOHVSBUJPOTXIJDIBSFBMTPMJLFMZUPCF FYQMPJUBCMFYBNQMFTJODMVEFBTFSWFS%P4 BTJHOJDBOUMFBLPGTFSWFSNFNPSZ BOESFNPUFDPEFFYFDVUJPO 5IFTFJTTVFTXJMMCFLFQUQSJWBUFBOEXJMMUSJHHFSBOFXSFMFBTFPGBMMTVQQPSUFEWFSTJPOT8FXJMMBUUFNQUUPLFFQ UIFUJNFUIFTFJTTVFTBSFQSJWBUFUPBNJOJNVNPVSBJNXPVMECFOPMPOHFSUIBOBNPOUIXIFSFUIJTJT TPNFUIJOHVOEFSPVSDPOUSPM BOETJHOJDBOUMZRVJDLFSJGUIFSFJTBTJHOJDBOUSJTLPSXFBSFBXBSFUIFJTTVFJT CFJOHFYQMPJUFE • 脅威度度⾼高。⼀一般的な設定に影響を与え、かつ攻撃される可能性が⾼高い問題。サーバの%P4、メモリ内容の漏漏洩、遠 隔からのコード実⾏行行など。このカテゴリーの問題は⾮非公開として扱われ、サポート中の全てのバージョンについて修 正版を新規リリースする。⾮非公開にする時間は最⼩小限にする努⼒力力をする。我々のコントロール下にある問題であれば、 ⽬目標はヶ⽉月以内であり、重⼤大なリスクが存在する場合や攻撃がすでに⾏行行われている場合はもっと早くなる。 Copyright©2014 JPCERT/CC All rights reserved. 40
0QFO44-内でのセキュリティ問題のハンドリング *OUFSOBMIBOEMJOHPGTFDVSJUZJTTVFT %VSJOHUIFJOWFTUJHBUJPOPGJTTVFTXFNBZXPSLXJUIJOEJWJEVBMTBOEPSHBOJTBUJPOT XIPBSFOPUPOUIFEFWFMPQNFOUUFBN8FEPUIJTCFDBVTFQBTUFYQFSJFODFIBT TIPXOUIBUUIFZDBOBEEWBMVFUPPVSVOEFSTUBOEJOHPGUIFJTTVFBOEUIFBCJMJUZUP UFTUQBUDIFT*ODBTFTXIFSFQSPUPDPMTBSFBFDUFEUIJTJTUIFCFTUXBZUPNJUJHBUFUIF SJTLUIBUBQPPSMZSFWJFXFEVQEBUFDBVTFTTJHODJBOUCSFBLBHF PSUPEFUFDUJGJTTVFT BSFCFJOHFYQMPJUFEJOUIFXJME8FIBWFBTUSJDUQPMJDZPOXIBUUIFTFPSHBOJTBUJPOT BOEJOEJWJEVBMTDBOEPXJUIUIFJOGPSNBUJPOBOEXJMMSFWJFXUIFOFFEPOBDBTFCZ DBTFCBTJT 問題を調査する間、開発チーム以外の個⼈人や組織と協⼒力力して活動することがある。我々 がそうする理理由は、我々が問題を理理解したりパッチを検証することに、彼らが貢献して くれるからである。プロトコルが影響を受ける場合、レビュー不不⼗十分なアップデートが ⼤大きな問題をもたらすリスクを低減したり、問題が実際に攻撃されているかどうかを検 知したりするために、これは最も優れた⽅方法である。これらの個⼈人や組織に対し、情報 の取扱いに関して厳格なポリシーを設けており、ケース 問題 ごとに協⼒力力を必要とするか を決めている。 Copyright©2014 JPCERT/CC All rights reserved. 41

Recomendados

CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)JPCERT Coordination Center
 
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策JPCERT Coordination Center
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)JPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)JPCERT Coordination Center
 
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」JPCERT Coordination Center
 
DLL読み込みの問題を読み解く
DLL読み込みの問題を読み解くDLL読み込みの問題を読み解く
DLL読み込みの問題を読み解くJPCERT Coordination Center
 
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくるJPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)JPCERT Coordination Center
 

Recomendados

CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)JPCERT Coordination Center
 
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策JPCERT Coordination Center
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)JPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)JPCERT Coordination Center
 
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」JPCERT Coordination Center
 
DLL読み込みの問題を読み解く
DLL読み込みの問題を読み解くDLL読み込みの問題を読み解く
DLL読み込みの問題を読み解くJPCERT Coordination Center
 
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくるJPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)JPCERT Coordination Center
 
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)JPCERT Coordination Center
 
Apache Axis2におけるXML署名検証不備
Apache Axis2におけるXML署名検証不備Apache Axis2におけるXML署名検証不備
Apache Axis2におけるXML署名検証不備JPCERT Coordination Center
 
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~JPCERT Coordination Center
 
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性JPCERT Coordination Center
 
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』JPCERT Coordination Center
 
Apache Struts2 における任意の Java メソッド実行の脆弱性
Apache Struts2 における任意の Java メソッド実行の脆弱性Apache Struts2 における任意の Java メソッド実行の脆弱性
Apache Struts2 における任意の Java メソッド実行の脆弱性JPCERT Coordination Center
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかグローバルセキュリティエキスパート株式会社(GSX)
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?グローバルセキュリティエキスパート株式会社(GSX)
 
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性JPCERT Coordination Center
 
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性JPCERT Coordination Center
 
CEH(認定ホワイトハッカー)公式トレーニングのご紹介
CEH(認定ホワイトハッカー)公式トレーニングのご紹介CEH(認定ホワイトハッカー)公式トレーニングのご紹介
CEH(認定ホワイトハッカー)公式トレーニングのご紹介グローバルセキュリティエキスパート株式会社(GSX)
 
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介グローバルセキュリティエキスパート株式会社(GSX)
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介グローバルセキュリティエキスパート株式会社(GSX)
 
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介グローバルセキュリティエキスパート株式会社(GSX)
 
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介グローバルセキュリティエキスパート株式会社(GSX)
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -Cybozucommunity
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)JPCERT Coordination Center
 
MySQL Connector/J における SQL インジェクションの脆弱性
MySQL Connector/J における SQL インジェクションの脆弱性MySQL Connector/J における SQL インジェクションの脆弱性
MySQL Connector/J における SQL インジェクションの脆弱性JPCERT Coordination Center
 
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)JPCERT Coordination Center
 
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性JPCERT Coordination Center
 

Más contenido relacionado

La actualidad más candente

安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)JPCERT Coordination Center
 
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~JPCERT Coordination Center
 
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性JPCERT Coordination Center
 
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』JPCERT Coordination Center
 
Apache Struts2 における任意の Java メソッド実行の脆弱性
Apache Struts2 における任意の Java メソッド実行の脆弱性Apache Struts2 における任意の Java メソッド実行の脆弱性
Apache Struts2 における任意の Java メソッド実行の脆弱性JPCERT Coordination Center
 
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性JPCERT Coordination Center
 
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性JPCERT Coordination Center
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -Cybozucommunity
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)JPCERT Coordination Center
 
MySQL Connector/J における SQL インジェクションの脆弱性
MySQL Connector/J における SQL インジェクションの脆弱性MySQL Connector/J における SQL インジェクションの脆弱性
MySQL Connector/J における SQL インジェクションの脆弱性JPCERT Coordination Center
 

La actualidad más candente (20)

安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
 
Apache Axis2におけるXML署名検証不備
Apache Axis2におけるXML署名検証不備Apache Axis2におけるXML署名検証不備
Apache Axis2におけるXML署名検証不備
 
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
 
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
 
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
 
Apache Struts2 における任意の Java メソッド実行の脆弱性
Apache Struts2 における任意の Java メソッド実行の脆弱性Apache Struts2 における任意の Java メソッド実行の脆弱性
Apache Struts2 における任意の Java メソッド実行の脆弱性
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
 
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
 
CEH(認定ホワイトハッカー)公式トレーニングのご紹介
CEH(認定ホワイトハッカー)公式トレーニングのご紹介CEH(認定ホワイトハッカー)公式トレーニングのご紹介
CEH(認定ホワイトハッカー)公式トレーニングのご紹介
 
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
 
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
 
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介
CEH(Certified Ethical Hacker:認定ホワイトハッカー)のご紹介
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみた
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
 
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
 
MySQL Connector/J における SQL インジェクションの脆弱性
MySQL Connector/J における SQL インジェクションの脆弱性MySQL Connector/J における SQL インジェクションの脆弱性
MySQL Connector/J における SQL インジェクションの脆弱性
 

Destacado

Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)JPCERT Coordination Center
 
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性JPCERT Coordination Center
 
OWASP ZAP(など)で挑む SECCON
OWASP ZAP(など)で挑む SECCONOWASP ZAP(など)で挑む SECCON
OWASP ZAP(など)で挑む SECCONJun Matsumoto
 
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)JPCERT Coordination Center
 
Blojsom におけるクロスサイトスクリプティングの脆弱性
Blojsom におけるクロスサイトスクリプティングの脆弱性Blojsom におけるクロスサイトスクリプティングの脆弱性
Blojsom におけるクロスサイトスクリプティングの脆弱性JPCERT Coordination Center
 
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...JPCERT Coordination Center
 
自分よりも技術力の高い会社に入社して感じたこと
自分よりも技術力の高い会社に入社して感じたこと自分よりも技術力の高い会社に入社して感じたこと
自分よりも技術力の高い会社に入社して感じたことSuzuki Masayuki
 
Devsumi2015_20E1 エンジニアが知っておきたいお金の話
Devsumi2015_20E1 エンジニアが知っておきたいお金の話Devsumi2015_20E1 エンジニアが知っておきたいお金の話
Devsumi2015_20E1 エンジニアが知っておきたいお金の話Akio Doi
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
ツイッター調査:約173万ツイートを調査して分かったTwitterの利用動向 #twtr_hack
ツイッター調査:約173万ツイートを調査して分かったTwitterの利用動向 #twtr_hackツイッター調査:約173万ツイートを調査して分かったTwitterの利用動向 #twtr_hack
ツイッター調査:約173万ツイートを調査して分かったTwitterの利用動向 #twtr_hackteapipin
 
世界一簡単なGithub入門(githubは無料で使用する場合、全てのファイルが公開されていることにご注意ください)
世界一簡単なGithub入門(githubは無料で使用する場合、全てのファイルが公開されていることにご注意ください)世界一簡単なGithub入門(githubは無料で使用する場合、全てのファイルが公開されていることにご注意ください)
世界一簡単なGithub入門(githubは無料で使用する場合、全てのファイルが公開されていることにご注意ください)Shinichi Hirauchi
 
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開Muneaki Nishimura
 
フーリエ変換と画像圧縮の仕組み
フーリエ変換と画像圧縮の仕組みフーリエ変換と画像圧縮の仕組み
フーリエ変換と画像圧縮の仕組みyuichi takeda
 

Destacado (14)

Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
 
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
 
OWASP ZAP(など)で挑む SECCON
OWASP ZAP(など)で挑む SECCONOWASP ZAP(など)で挑む SECCON
OWASP ZAP(など)で挑む SECCON
 
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
 
Blojsom におけるクロスサイトスクリプティングの脆弱性
Blojsom におけるクロスサイトスクリプティングの脆弱性Blojsom におけるクロスサイトスクリプティングの脆弱性
Blojsom におけるクロスサイトスクリプティングの脆弱性
 
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
 
自分よりも技術力の高い会社に入社して感じたこと
自分よりも技術力の高い会社に入社して感じたこと自分よりも技術力の高い会社に入社して感じたこと
自分よりも技術力の高い会社に入社して感じたこと
 
Devsumi2015_20E1 エンジニアが知っておきたいお金の話
Devsumi2015_20E1 エンジニアが知っておきたいお金の話Devsumi2015_20E1 エンジニアが知っておきたいお金の話
Devsumi2015_20E1 エンジニアが知っておきたいお金の話
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
 
ツイッター調査:約173万ツイートを調査して分かったTwitterの利用動向 #twtr_hack
ツイッター調査:約173万ツイートを調査して分かったTwitterの利用動向 #twtr_hackツイッター調査:約173万ツイートを調査して分かったTwitterの利用動向 #twtr_hack
ツイッター調査:約173万ツイートを調査して分かったTwitterの利用動向 #twtr_hack
 
世界一簡単なGithub入門(githubは無料で使用する場合、全てのファイルが公開されていることにご注意ください)
世界一簡単なGithub入門(githubは無料で使用する場合、全てのファイルが公開されていることにご注意ください)世界一簡単なGithub入門(githubは無料で使用する場合、全てのファイルが公開されていることにご注意ください)
世界一簡単なGithub入門(githubは無料で使用する場合、全てのファイルが公開されていることにご注意ください)
 
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
 
Android Secure Coding
Android Secure CodingAndroid Secure Coding
Android Secure Coding
 
フーリエ変換と画像圧縮の仕組み
フーリエ変換と画像圧縮の仕組みフーリエ変換と画像圧縮の仕組み
フーリエ変換と画像圧縮の仕組み
 

Similar a Lessons (to be) Learned from Handling OpenSSL Vulnerabilities

産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert LipovskýCODE BLUE
 
ION Tokyo: Keynote Presentation -- "Can we go back to the original? A Return ...
ION Tokyo: Keynote Presentation -- "Can we go back to the original? A Return ...ION Tokyo: Keynote Presentation -- "Can we go back to the original? A Return ...
ION Tokyo: Keynote Presentation -- "Can we go back to the original? A Return ...Deploy360 Programme (Internet Society)
 
DPDKによる高速コンテナネットワーキング
DPDKによる高速コンテナネットワーキングDPDKによる高速コンテナネットワーキング
DPDKによる高速コンテナネットワーキングTomoya Hibi
 
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性Asuka Nakajima
 
2016年2月4日 空間OSの設計コンセプトと先端IT
2016年2月4日 空間OSの設計コンセプトと先端IT2016年2月4日 空間OSの設計コンセプトと先端IT
2016年2月4日 空間OSの設計コンセプトと先端ITaitc_jp
 
CONBU LL Diver/YAPC::Asia 2014 Network
CONBU LL Diver/YAPC::Asia 2014 NetworkCONBU LL Diver/YAPC::Asia 2014 Network
CONBU LL Diver/YAPC::Asia 2014 NetworkYuya Takahashi
 
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015CODE BLUE
 
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015Toru Yamaguchi
 
Ietf91報告 httpbis-httpauth
Ietf91報告 httpbis-httpauthIetf91報告 httpbis-httpauth
Ietf91報告 httpbis-httpauthKaoru Maeda
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxmkoda
 
Idpfのepub lcpとは何か
Idpfのepub lcpとは何かIdpfのepub lcpとは何か
Idpfのepub lcpとは何かSampei Tohru
 
IETF96 Update oauth tokbind
IETF96 Update oauth tokbindIETF96 Update oauth tokbind
IETF96 Update oauth tokbindKaoru Maeda
 
基礎教養としてのUbuntuサーバ_前編.pptx
基礎教養としてのUbuntuサーバ_前編.pptx基礎教養としてのUbuntuサーバ_前編.pptx
基礎教養としてのUbuntuサーバ_前編.pptxYuji Naito
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールIsao Takaesu
 
【Interop tokyo 2014】  君にもできる!CCNPで学ぶトラブルシューティング
【Interop tokyo 2014】  君にもできる!CCNPで学ぶトラブルシューティング【Interop tokyo 2014】  君にもできる!CCNPで学ぶトラブルシューティング
【Interop tokyo 2014】  君にもできる!CCNPで学ぶトラブルシューティングシスコシステムズ合同会社
 
OpenStack Swiftとそのエコシステムの最新動向
OpenStack Swiftとそのエコシステムの最新動向OpenStack Swiftとそのエコシステムの最新動向
OpenStack Swiftとそのエコシステムの最新動向NTT Software Innovation Center
 
IETF92報告IoT関連
IETF92報告IoT関連IETF92報告IoT関連
IETF92報告IoT関連Kaoru Maeda
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 

Similar a Lessons (to be) Learned from Handling OpenSSL Vulnerabilities (20)

Ietf95 http2
Ietf95 http2Ietf95 http2
Ietf95 http2
 
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
 
ION Tokyo: Keynote Presentation -- "Can we go back to the original? A Return ...
ION Tokyo: Keynote Presentation -- "Can we go back to the original? A Return ...ION Tokyo: Keynote Presentation -- "Can we go back to the original? A Return ...
ION Tokyo: Keynote Presentation -- "Can we go back to the original? A Return ...
 
DPDKによる高速コンテナネットワーキング
DPDKによる高速コンテナネットワーキングDPDKによる高速コンテナネットワーキング
DPDKによる高速コンテナネットワーキング
 
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
 
2016年2月4日 空間OSの設計コンセプトと先端IT
2016年2月4日 空間OSの設計コンセプトと先端IT2016年2月4日 空間OSの設計コンセプトと先端IT
2016年2月4日 空間OSの設計コンセプトと先端IT
 
CONBU LL Diver/YAPC::Asia 2014 Network
CONBU LL Diver/YAPC::Asia 2014 NetworkCONBU LL Diver/YAPC::Asia 2014 Network
CONBU LL Diver/YAPC::Asia 2014 Network
 
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
 
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
 
Ietf91報告 httpbis-httpauth
Ietf91報告 httpbis-httpauthIetf91報告 httpbis-httpauth
Ietf91報告 httpbis-httpauth
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
 
Idpfのepub lcpとは何か
Idpfのepub lcpとは何かIdpfのepub lcpとは何か
Idpfのepub lcpとは何か
 
IETF96 Update oauth tokbind
IETF96 Update oauth tokbindIETF96 Update oauth tokbind
IETF96 Update oauth tokbind
 
基礎教養としてのUbuntuサーバ_前編.pptx
基礎教養としてのUbuntuサーバ_前編.pptx基礎教養としてのUbuntuサーバ_前編.pptx
基礎教養としてのUbuntuサーバ_前編.pptx
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
 
【Interop tokyo 2014】  君にもできる!CCNPで学ぶトラブルシューティング
【Interop tokyo 2014】  君にもできる!CCNPで学ぶトラブルシューティング【Interop tokyo 2014】  君にもできる!CCNPで学ぶトラブルシューティング
【Interop tokyo 2014】  君にもできる!CCNPで学ぶトラブルシューティング
 
2015-ShowNetステージ-BGPFlowspec
2015-ShowNetステージ-BGPFlowspec2015-ShowNetステージ-BGPFlowspec
2015-ShowNetステージ-BGPFlowspec
 
OpenStack Swiftとそのエコシステムの最新動向
OpenStack Swiftとそのエコシステムの最新動向OpenStack Swiftとそのエコシステムの最新動向
OpenStack Swiftとそのエコシステムの最新動向
 
IETF92報告IoT関連
IETF92報告IoT関連IETF92報告IoT関連
IETF92報告IoT関連
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
 

Más de JPCERT Coordination Center

ソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデルソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデルJPCERT Coordination Center
 
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性JPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第2回演習の解説
Javaセキュアコーディングセミナー東京第2回演習の解説Javaセキュアコーディングセミナー東京第2回演習の解説
Javaセキュアコーディングセミナー東京第2回演習の解説JPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第4回演習の解説
Javaセキュアコーディングセミナー東京第4回演習の解説Javaセキュアコーディングセミナー東京第4回演習の解説
Javaセキュアコーディングセミナー東京第4回演習の解説JPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第4回講義
Javaセキュアコーディングセミナー東京第4回講義Javaセキュアコーディングセミナー東京第4回講義
Javaセキュアコーディングセミナー東京第4回講義JPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第3回演習
Javaセキュアコーディングセミナー東京第3回演習Javaセキュアコーディングセミナー東京第3回演習
Javaセキュアコーディングセミナー東京第3回演習JPCERT Coordination Center
 

Más de JPCERT Coordination Center (6)

ソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデルソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデル
 
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
 
Javaセキュアコーディングセミナー東京第2回演習の解説
Javaセキュアコーディングセミナー東京第2回演習の解説Javaセキュアコーディングセミナー東京第2回演習の解説
Javaセキュアコーディングセミナー東京第2回演習の解説
 
Javaセキュアコーディングセミナー東京第4回演習の解説
Javaセキュアコーディングセミナー東京第4回演習の解説Javaセキュアコーディングセミナー東京第4回演習の解説
Javaセキュアコーディングセミナー東京第4回演習の解説
 
Javaセキュアコーディングセミナー東京第4回講義
Javaセキュアコーディングセミナー東京第4回講義Javaセキュアコーディングセミナー東京第4回講義
Javaセキュアコーディングセミナー東京第4回講義
 
Javaセキュアコーディングセミナー東京第3回演習
Javaセキュアコーディングセミナー東京第3回演習Javaセキュアコーディングセミナー東京第3回演習
Javaセキュアコーディングセミナー東京第3回演習
 

Lessons (to be) Learned from Handling OpenSSL Vulnerabilities

  • 1. Lessons (to be) Learned from Handling OpenSSL Vulnerabilities 2014年年11⽉月22⽇日 +1$35コーディネーションセンター 情報流流通対策グループ 脆弱性解析チームリーダー 久保 正樹
  • 2. 年年に +1$35$$がハンドリングした 0QFO44-の脆弱性 を振り返る Copyright©2014 JPCERT/1 CC All rights reserved.
  • 3. OpenSSL とは ! 暗号化の機能(SSL/TLS/DTLS)を提供するライブラリ ! オープンソース ! Apache License 1.0 ! LibreSSL (OpenBSD) と boringssl (Google) に最近 フォーク ! 多くのサーバで利利⽤用されている ! ⼀一部のクライアントでも使⽤用されている — Android (SSLSocketFactory等), Chrome for Android 等 Copyright©2014 JPCERT/CC All rights reserved. 2
  • 4. SSL/TLS 関連の脆弱性 (2014) ! OpenSSL 関連 Copyright©2014 JPCERT/CC All rights reserved. 3 4⽉月8⽇日JVNVU#94401838OpenSSL の heartbeat 拡張に情報漏漏えいの 脆弱性 6⽉月6⽇日JVN#61247051OpenSSL における Change Cipher Spec メッセージの処理理に脆弱性 8⽉月11⽇日JVNVU#93614707OpenSSL クライアントにナルポインタ参照の 脆弱性 10⽉月16⽇日JVNVU#98283300SSLv3 プロトコルに暗号化データを解読され る脆弱性(POODLE 攻撃)
  • 5. SSL/TLS 関連の脆弱性 (2014) ! サーバ証明書を検証しない問題 — JVNで11件公表 — Androidアプリに多数⾒見見つかる ! SslError回避のバッドノウハウ流流布が原因? — USでは、連邦取引委員会(FTC)が問題視して2社を指導 ! 関⻄西オープンソース2014で JPCERT ⼾戸⽥田が講演 — 〜~誰かの失敗を他⼭山の⽯石に〜~脆弱性事例例に学ぶセキュア コーディング「SSL/TLS証明書検証編」 — https://k-of.jp/2014/session/563 Copyright©2014 JPCERT/CC All rights reserved. 4
  • 6. Copyright©2014 JPCERT/5 CC All rights reserved. 20 5 7 8 8 11 3 3 5 1 4 7 4 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 25 20 15 10 5 0 OpenSSLの脆弱性 (件数) TPVSDFIUUQTXXXPQFOTTMPSHOFXTWVMOFSBCJMJUJFTIUNM
  • 7. 情報セキュリティ早期警戒パートナーシップ Copyright©2014 JPCERT/CC All rights reserved. 6 発⾒見見者 IPA (受付) JPCERT/CC (調整) 開発者の皆さん 個⼈人 企業 オープンソース コミュニティ JVN (公表) エンドユーザ 企業ユーザ マスメディア SIer などなど CERT/CC NCSC-‐‑‒FI (調整)
  • 9. Heartbleed 脆弱性とは ! プロセスメモリ上のTLS 秘密鍵が漏漏洩する問題 ! OpenSSL 1.0.1 が影響を受ける ! Codenomicon の研究者が脆弱性を発⾒見見 — のちに Google も同時に問題を発⾒見見していたことが判明 サーバ Copyright©2014 JPCERT/CC All rights reserved. 8 クライアント 攻撃リクエスト 秘密鍵、認証情報
  • 10. 時系列列 +1$35 Copyright©2014 JPCERT/CC All rights reserved. 9 4⽉月6⽇日(⽇日) 20:08 NCSC-FI Jussi からメール受信 • 脆弱性の概要 • FI は OpenSSL に通知済み • 2つの依頼 • CVE 割当て • ベンダのリストアップ 時間は65$
  • 11. 4⽉月7⽇日(⽉月) 16時 電話:NCSC-FI → JPCERT/CC 22:24 CERT/CC が vultures にメール • CVE-2014-0346 を割当て 4⽉月9⽇日(⽔水) 15:46 IIJ から VS⼊入⼒力力 4⽉月11⽇日(⾦金金) 12:48 ⽇日本マイクロソフトからVS⼊入⼒力力 最終的に国内社に⾃自社の対応状況を +7/で公表していただきました 4⽉月8⽇日(⽕火) 08:18 アドバイザリ公表を確認 09:48 CERT/CC アドバイザリ公表の連絡 11:42 CERT/CC 「OpenSSL か Cloudflare が 早く公開してしまったのか?」 15:00 JVN 公開、国内50社に公表通知のメー ル ① ② ③ ④ ⑤
  • 12. 時系列列 0QFO44- 4⽉月6⽇日(⽇日) 20:08 NCSC-FI Jussi からメール受信 4⽉月8⽇日(⽕火) 00:19 FI が Mark Cox / Ben Laurie に Codenomicon の脆弱性を通知 01:11 OpenSSL コアチームメンバー に情報が展開される • 同⽇日に2組織が同じ脆弱性を発⾒見見し Copyright©2014 JPCERT/CC All rights reserved. 10 • 脆弱性の概要 • FI は OpenSSL に通知済み • 2つの依頼 • CVE 割当て • ベンダのリストアップ 時間は65$
  • 13. 4⽉月1⽇日 Google → OpenSSL に脆弱性とパッチの連絡 Google → 他のインフラプロバイダにも通知 4⽉月7⽇日 14:56 OpenSSL が Red Hat に通知 15:10 Red Hat が oss-security の distros に情報展開 • 詳細はふせられた • 影響バージョン、9⽇日公開の エンバーゴーに基づき、OpenSSL が詳細 を distro に展開 17:15 SuSE 17:16 Debian 17:49 FreeBSD 19:00 AltLinux 20:30 Ubuntu (リクエストベース) 23:14 Gentoo (リクエストベース) 4⽉月7⽇日(⽉月) 16時 電話:NCSC-FI → JPCERT/CC 22:24 CERT/CC が vultures にメール • CVE-2014-0346 を割当て 4⽉月9⽇日(⽔水) 15:46 IIJ から VS⼊入⼒力力 4⽉月11⽇日(⾦金金) 12:48 ⽇日本マイクロソフトからVS⼊入⼒力力 4⽉月8⽇日(⽕火) 08:18 アドバイザリ公表を確認 09:48 CERT/CC アドバイザリ公表の連絡 11:42 CERT/CC 「OpenSSL か Cloudflare が 早く公開してしまったのか?」 15:00 ていJVN るこ公開と、か国ら内、50公社開に公表通知のメー ル を決定 02:25 OpenSSL がウェブページを アップデート&アドバイザリ準備 03:39 OpenSSL がアドバイザリ公開 ① ② ③
  • 14. 脆弱性公表について ! 0QFO44-が直接連絡したのは-JOVY%JTUSP社だけ ˋ 3FE)BU 4V4 %FCJBO 'SFF#4% MU-JOVY ˋ 残りの EJTUSPは PTTTFDVSJUZ経由 ! LBNBJ $MPVEBSF 'BDFCPPLには事前にパッチが提供 されていた ˋ (PPHMF経由で連絡が⾏行行っていたと推測される ! 詳しい経緯 ˋ 5IF4ZEOFZ.PSOJOH)FSBMEˊ)FBSUCMFFEEJTDMPTVSF UJNFMJOFXIPLOFXXIBUBOEXIFO Copyright©2014 JPCERT/CC All rights reserved. 11
  • 15. Lessons Learned ! 調整機関 (JPCERT, CERT/CC, NCSI-FI) は調整相⼿手しか⾒見見 えなかった ! OpenSSL ⾃自⾝身も限られた情報に基づきハンドリング — 前倒し公表は適切切であったといえる Copyright©2014 JPCERT/CC All rights reserved. 12 事前通知リークの 可能性
  • 17. CCS Injection 脆弱性とは ! サーバとクライアントが暗号化通信を開始する⼿手順(ハン ドシェイク)の途中で、不不正な信号 (change_cipher_spec)を受け取ると、通信に使わ れる暗号鍵が予測可能なものになる — 通信内容の解読、なりすましに悪⽤用される ! 中間者攻撃が必要 ! レピダムの菊池さんが発⾒見見者 — 『OpenSSLのバグを⾒見見つけた話』 — http://www.iij-ii.co.jp/lab/seminars/ Copyright©2014 JPCERT/CC All rights reserved. 14
  • 18. Copyright©2014 JPCERT/15 CC All rights reserved. サーバ クライアント CCS Injection 中間者攻撃により 暗号化された通信を 攻撃者に解読される
  • 19. SSL/TLS のハンドシェイク Copyright©2014 JPCERT/CC All rights reserved. 16
  • 20. 時系列列 +1$35 Copyright©2014 JPCERT/CC All rights reserved. 17 ⽉月⽇日 ⽔水 *1から届け出の連絡 ⽉月⽇日 ⽊木 発⾒見見者から追加情報 ⽉月⽇日 ⾦金金 発⾒見見者から追加情報 検証詳細情報翻訳開始 ⽉月⽇日 ⽊木 0QFO44-に詳細送付 ⽉月⽇日 ⽊木 発⾒見見者から追加情報 ⽉月⽇日 ⾦金金 発⾒見見者から$35$$にも連絡したとのこと ⽉月⽇日 ⽉月 発⾒見見者から追加情報 パッチ $35$$に連絡 ⽉月⽇日 ⽔水 /$4$'*に連絡 国内約社に概要通知 ⽉月⽇日 ⽊木 ⽉月上旬公開を社に通知 ⽉月⽇日 ⽊木 0QFO44-、/$4$'*アドバイザリ公開 ⽉月⽇日 ⾦金金 +7/公開(XEBZTEBZT)
  • 21. /$4$'* Copyright©2014 JPCERT/18 CC All rights reserved. +1$35 $35$$ 研究者 レピダム菊池さん *1 ML (oss-distros) -JOVY'SFF#4% 国内社 ハンドリングの実態 CCS Injection 他の研究者 案件 海外社
  • 22. ハンドリング中に頂いた質問1 Copyright©2014 JPCERT/CC All rights reserved. 19 弊社の製品も対策が必要だが、 OpenSSL からパッチやアドバイザリーは まだ出ていなません。 弊社側でOpenSSLのサイトを⾒見見続ける必要があるの でしょうか。 それとも JPCERT からのアナウンスを待つことにな るでしょうか。
  • 23. 回答1 OpenSSL のアドバイザリを最短・確実に⼊入⼿手する⽅方法 1. OpenSSL のアドバイザリを地道にウォッチ 2. JPCERT からの JVN 公開通知を待つ 3. oss-security ML を購読 — OpenSSL アドバイザリ公開とほぼ同時にメールが流流れる — 技術ネタのトラフィックがそれなりにあるので、⾒見見落落と さないように気をつけないとダメ JVN では、JPCERT/CC や CERT/CC が調整していない案件で も、脅威度度の⾼高いと判断される脆弱性についてはアドバイ ザリを公開します — ex. POODLE Copyright©2014 JPCERT/CC All rights reserved. 20
  • 24. ハンドリング中に頂いた質問2 Copyright©2014 JPCERT/CC All rights reserved. 21 早期警戒パートナーシップガイドライン 1 また、+1$35$$は、044に関する事前通知を、開発者コミュニティに加え て、必要に応じて以下へ通知します。 ・044を導⼊入した製品の開発者 ・ディストリビュータ・製品の仕様を決定するサービス提供者(例例:携帯電 話会社) これは、開発者コミュニティによる脆弱性対応が困難でかつ発表もされない 場合に、当該 044を導⼊入した製品の開発者やディストリビュータ、製品の仕 様を決定するサービス提供者は、その事実を知りうる⼿手段がないが、社会的 影響を考慮するとそれらの脆弱性対応が重要であるケースが想定されるため です。 今回の0QFO44-は⽉月にパッチがリリースされるので上記には該当しないと理理解。 情報公開前に脆弱性情報を通知した意図は何でしょう?(普段のフローとは違って ⾒見見えた)
  • 25. 回答2 ! 044脆弱性の事前通知は、#*/%やQBDIF5PNDBUの 脆弱性でもこれまでやってます ˋ 脆弱性の詳細や検証コードまでそろった形で情報提供した 点が普段と違って⾒見見えたのかも ! これまで「せめて公開⽇日は知りたい」「パッチの事前提 供を受けたい」などの要望がある中での情報提供 Copyright©2014 JPCERT/CC All rights reserved. 22
  • 26. Lessons (to be) Learned Copyright©2014 JPCERT/CC All rights reserved. 23
  • 27. +1$35̞開発者 ! 事前情報提供は、開発者の皆さんの役にほんとうに⽴立立っ たのだろうか? — 今回は運良良く、レピダム菊池さん提供の精度度の⾼高い検証 データがあった — OpenSSL からパッチの事前提供はなし — あくまでOpenSSL が修正した6件の脆弱性のうちの1つ ! 「メディアでも話題になる重要案件は社内調整もあり役 に⽴立立ちます」という声も Copyright©2014 JPCERT/CC All rights reserved. 24
  • 28. +1$35̞開発者 ! フィードバックはとてもありがたいです — 検証結果を共有して下さった IIJ、ヤマハ、横河電機 — 特に IIJ さんの影響範囲に関する分析は、アドバイザリ作 成時に参考にさせて頂きました Copyright©2014 JPCERT/CC All rights reserved. 25
  • 29. +1$35̞0QFO44- ! ミドルマンにならないために — 発⾒見見者から、IPA/JPCERT、CERT/CC、OpenSSLの3者に連 絡が⾏行行ってしまった — OpenSSL に x 3++ のやり取りが発⽣生 ! 余計な負担がフラストレーションを招く結果に Copyright©2014 JPCERT/CC All rights reserved. 26
  • 30. +1$35̞$35$$]/$4$'* ! 国際連携の認知度度向上キャンペーン — 連携していることが知られていない — 調整機関 ML (vultures) — 開発者、研究者に対し国際連携の理理解を広める活動 ! Next vultures F2F meeting — 2015年年春@RSA Conference — US の Vendor ミーティングと共催 Copyright©2014 JPCERT/CC All rights reserved. 27
  • 31. 脆弱性発⾒見見者・研究者の皆さんに知っておいてほしいこと ! まずは JPCERT/CC, IPA にご連絡を — 開発者との調整活動を⾏行行っているCERT組織は世界で3つ ! JPCERT/CC, CERT/CC, NCSC-FI — NDAを結んで連携しています ! JPCERT/CC は CVE の採番機関です ! 海外の開発者とも普段からやりとりしています — Adobe, Apple, Google, Android, OpenSSL etc… ! JPCERT/CC は Responsible Disclosure の精神にのっとっ て調整します Copyright©2014 JPCERT/CC All rights reserved. 28
  • 32. OSS開発者の皆さんに知っておいてほしいこと ! 2つのポリシーがあるとスムーズです ! 脆弱性取扱いポリシー — 脆弱性の届け出先アドレス — 対応の流流れ — 脆弱性公表ページ — セキュリティ問題に「前向き」な姿勢 ! 脆弱性公表ポリシー — ユーザがリスクを判断できる情報の公表 — 脆弱性のリスクを低減する⽅方法の提⽰示(パッチ、ワークア ラウンド) — 発⾒見見者・研究者に対する acknowledge Copyright©2014 JPCERT/CC All rights reserved. 29
  • 33. OpenSSL の セキュリティポリシー Copyright©2014 JPCERT/CC All rights reserved. 30
  • 34. 0QFO44-4FDVSJUZ1PMJDZ ! 年年⽉月⽇日に第版が公開された ˋ IUUQTXXXPQFOTTMPSHBCPVUTFDQPMJDZIUNM ! 脆弱性を段階の脅威に分類してハンドリング ˋ 低:開発中のブランチで即修正。必要に応じてバックポー ト ˋ 中:次のセキュリティYでまとめて修正 ˋ ⾼高:なる早でバージョンアップ対応(サポート中のバー ジョンのみ) ! 事前通知は、基本的に 04EJTUSPに対してのみ ˋ 調整機関に事前通知やパッチ提供は⾏行行わない Copyright©2014 JPCERT/CC All rights reserved. 31
  • 35. 参考 *4$7VMOFSBCJMJUZ%JTDMPTVSF1PMJDZ ! *4$ の 7VMOFSBCJMJUZ%JTDMPTVSF1PMJDZ が 付けで 更更新された ! #FGPSF ˋ +1$35はメーリングリスト経由で事前提供を得ていた ! GUFS ˋ サポート顧客、%/4 オペレータ、04 ディストリビュータ のみが事前提供を受けることとなった ! +1$35$$ は、公開当⽇日に *4$ から公開の連絡を受け、 各⽅方⾯面 国内開発者、1$35、1BD$35、GSJDB$35 への展開を⾏行行う予定 ! 詳細:IUUQTLCJTDPSHBSUJDMF Copyright©2014 JPCERT/CC All rights reserved. 32
  • 37. 参考資料料 OpenSSL Security Policy Last modified 7th September 2014 全訳 Copyright©2014 JPCERT/CC All rights reserved. 34
  • 38. はじめに *OUSPEVDUJPO 3FDFOUBXTIBWFDBQUVSFEUIFBUUFOUJPOPGUIFNFEJBBOEIJHIMJHIUFEIPX NVDIPGUIFJOUFSOFUJOGSBTUSVDUVSFJTCBTFEPO0QFO44-8FWFOFWFS QVCMJTIFEPVSQPMJDZPOIPXXFJOUFSOBMMZIBOEMFTFDVSJUZJTTVFTUIBU QSPDFTTCFJOHCBTFEPOFYQFSJFODFBOEIBTFWPMWFEPWFSUIFZFBST 昨今の 0QFO44-の ⽋欠陥はメディアの注⽬目を集め、いかに多くのインターネッ ト基盤が0QFO44-に依存しているかを浮き彫りにした。我々 0QF44- はこれ まで、内部でどのようにセキュリティ問題を取り扱うかのポリシーを公開した ことはない。ハンドリングプロセスは、経験に基づくものであり、年年⽉月を経て 発展してきた。 Copyright©2014 JPCERT/CC All rights reserved. 35
  • 39. セキュリティ問題の報告について 3FQPSUJOHTFDVSJUZJTTVFT 8FIBWFBOFNBJMBEESFTTXIJDIDBOCFVTFEUPOPUJGZVTPGQPTTJCMFTFDVSJUZ WVMOFSBCJMJUJFTTVCTFUPG0QFO44-UFBNNFNCFSTSFDFJWFUIJTNBJM BOE NFTTBHFTDBOCFTFOUVTJOH1(1FODSZQUJPO'VMMEFUBJMTBSFBUIUUQT XXXPQFOTTMPSHOFXTWVMOFSBCJMJUJFTIUNM 問題の可能性があるセキュリティ脆弱性を我々に通知するためのメールアドレスを 我々は設けている。0QFO44-開発チームの⼀一部のメンバーがこのメールを受信する。 メッセージは1(1で暗号化してもよい 訳注 。詳細はこのページを参照してほしい IUUQTXXXPQFOTTMPSHOFXTWVMOFSBCJMJUJFTIUNM 8IFOXFBSFOPUJFEBCPVUBOJTTVFXFFOHBHFSFTPVSDFTXJUIJOUIF0QFO44- UFBNUPJOWFTUJHBUFBOEQSJPSJUJTFJU8FNBZBMTPVUJMJTFSFTPVSDFTGSPNUIF FNQMPZFSTPGPVSUFBNNFNCFST BTXFMMBTPUIFSTXFIBWFXPSLFEXJUICFGPSF 問題の通知を受け取ると、0QFO44-開発チームの中でリソースを確保し、問題の調 査と優先度度付けを⾏行行う。場合によっては、メンバーの雇⽤用主のリソースを借りたり、 過去の協⼒力力者の⼒力力を借りることもある。 Copyright©2014 JPCERT/CC All rights reserved. 訳注 PQFOTTMTFDVSJUZ!PQFOTTMPSHの鍵 LFZ*% は今や誰も復復号でき ないらしく、この鍵で暗号化すると怒怒られます。0QFO44-$PSFBOE%FWFMPQNFOU 5FBN開発者個⼈人の1(1鍵を使いましょう。 36
  • 40. 背景事情 #BDLHSPVOE WFSZPOFXPVMEMJLFUPHFUBEWBODFOPUJDFPGTFDVSJUZJTTVFTJO0QFO44-5IJTJTBDPNQMFYUPQJDBOEXFOFFEUPTFUPVUTPNF CBDLHSPVOEXJUIPVSOEJOHT 誰しも 0QFO44-のセキュリティ問題の事前通知を受けたいだろう。これは⼀一筋縄ではいかない話題であり、我々が発⾒見見した背景 事情を⽰示す必要がある。 5IFNPSFQFPQMFZPVUFMMJOBEWBODFUIFIJHIFSUIFMJLFMJIPPEUIBUBMFBLXJMMPDDVS8FIBWFTFFOUIJTIBQQFOCFGPSF CPUI XJUI0QFO44-BOEPUIFSQSPKFDUT 事前により多くの⼈人に知らせれば、情報がリークする可能性がそれだけ⾼高くなる。0QFO44-でも他のプロジェクトでも、これま でにリークの発⽣生を⽬目にしている。 IVHFOVNCFSPGQSPEVDUTGSPNBOFRVBMMZMBSHFOVNCFSPGPSHBOJTBUJPOTVTF0QFO44-*UTOPUKVTUTFDVSFXFCTJUFT ZPVSF KVTUBTMJLFMZUPOE0QFO44-JOTJEFZPVSTNBSU57 DBS PSGSJEHF ⾮非常多くの組織、これまた⾮非常に多くの製品が 0QFO44-を使っている。0QFO44-はウェブサイトをセキュアにするためだけに 使われているわけではなく、スマート57や⾞車車、冷冷蔵庫などでも使われている。 8FTUSPOHMZCFMJFWFUIBUUIFSJHIUUPBEWBODFQBUDIFTJOGPTIPVMEOPUCFCBTFEJOBOZXBZPOQBJENFNCFSTIJQUPTPNF GPSVN:PVDBOOPUQBZVTUPHFUTFDVSJUZQBUDIFTJOBEWBODF パッチやセキュリティ情報を事前に⼊入⼿手する権利利は、とあるフォーラムの有料料メンバーシップのような形態に基づくべきでない、 と我々は強く信じている。我々にお⾦金金を払ったからといって、セキュリティパッチは事前に⼿手に⼊入らない。 8FDBOCFOFUGSPNQFFSSFWJFXPGUIFQBUDIFTBOEBEWJTPSZ,FFQJOHTFDVSJUZJTTVFTQSJWBUFNFBOTUIFZDBOUHFUUIFMFWFM PGUFTUJOHPSTDSVUJOZUIBUUIFZPUIFSXJTFXPVME パッチやアドバイザリのピアレビューから、我々は恩恵をうけることができる。セキュリティ問題をプロジェクト内に留留めると いうことは、公開することで得られるレベルのテストや検証を得られないということである。 *UJTOPUBDDFQUBCMFGPSPSHBOJTBUJPOTUPVTFBEWBODFOPUJDFJONBSLFUJOHBTBDPNQFUJUJWFBEWBOUBHF'PSFYBNQMFJGZPVIBE CPVHIUPVSQSPEVDUVTFEPVSTFSWJDFZPVXPVMEIBWFCFFOQSPUFDUFEBXFFLBHP˒ 組織が事前通知をマーケティング上、他社を出し抜くために利利⽤用することは受け⼊入れられない。たとえば「我々の製品サービス を買えば、週間前に防御できますよ」など Copyright©2014 JPCERT/CC All rights reserved. 37
  • 41. 背景事情 #BDLHSPVOE 5IFSFBSFBDUVBMMZOPUBMBSHFOVNCFSPGTFSJPVTWVMOFSBCJMJUJFTJO0QFO44-XIJDINBLFJUXPSUITQFOEJOH TJHOJDBOUUJNFLFFQJOHPVSPXOMJTUPGWFOEPSTXFUSVTU PSTJHOJOHGSBNFXPSLBHSFFNFOUT PSEFBMJOHXJUI DIBOHFT BOEQPMJDJOHUIFQPMJDZ5IJTJTBTJHOJDBOUBNPVOUPGFPSUQFSJTTVFUIBUJTCFUUFSTQFOUPOPUIFSUIJOHT 実際のところ 0QFO44-にそれほど多くの深刻な脆弱性は存在しない。したがって、我々が信頼できるベンダのリスト を維持したり、 事前通知のための フレームワークの契約を結んだり、契約の変更更に対応したり、ポリシーを守らせる ことに膨⼤大な時間を費やす価値はない。 8FIBWFQSFWJPVTMZVTFEUIJSEQBSUJFTUPIBOEMFOPUJDBUJPOGPSVTJODMVEJOH$1/* P$35 PS$35$$ CVUOPOF XFSFTVJUBCMF 過去に $1/* P$35 $35$$など第三者機関を使って通知を⾏行行ったことがあるが、どれも適切切ではなかった。 *UTJOUIFCFTUJOUFSFTUTPGUIF*OUFSOFUBTBXIPMFUPHFUYFTGPS0QFO44-TFDVSJUZJTTVFTPVURVJDLMZ0QFO44- FNCBSHPFTTIPVMECFNFBTVSFEJOEBZTBOEXFFLT OPUNPOUITPSZFBST インターネット全体として考えると、最も肝⼼心なことは、0QFO44-のセキュリティ修正を皆にいち早く提供すること である。0QFO44-のエンバーゴーは、⽉月年年単位ではなく、⽇日や週の単位で計られるべきものだ。 .BOZTJUFTBFDUFECZ0QFO44-JTTVFTXJMMCFSVOOJOHBWFSTJPOPG0QFO44-UIFZHPUGSPNTPNFWFOEPS BOEMJLFMZ CVOEMFEXJUIBOPQFSBUJOHTZTUFN 5IFNPTUFFDUJWFXBZGPSUIFTFTJUFTUPHFUQSPUFDUFEJTUPHFUBOVQEBUFE WFSTJPOGSPNUIBUWFOEPS4JUFTXIPVTFUIFJSPXO0QFO44-DPNQJMBUJPOTTIPVMECFBCMFUPIBOEMFBRVJDLQBUDI BOESFDPNQJMFPODFUIFJTTVFJTQVCMJD 0QFO44-の影響を受けるサイトの多くは、なんらかのベンダーから⼊入⼿手した0QFO44-を運⽤用しているだろう 04にバ ンドルされている可能性が⾼高い 。これらのサイトを保護する最も効率率率的な⽅方法は、 管理理者が ⼊入⼿手元のベンダーから アップデート版を⼊入⼿手することである。独⾃自にコンパイルした0QFO44-を使⽤用するサイトであれば、パッチが公開さ れれば、 ⾃自分で 対処できるだろう。 Copyright©2014 JPCERT/CC All rights reserved. 38
  • 42. 0QFO44-内でのセキュリティ問題のハンドリング *OUFSOBMIBOEMJOHPGTFDVSJUZJTTVFT 5IJTMFBETVTUPPVSQPMJDZGPSTFDVSJUZJTTVFTOPUJFEUPVTPSGPVOECZPVSUFBNXIJDIBSFOPUZFU QVCMJD これらの事情を踏まえ、我々に通知された、あるいは我々⾃自⾝身が発⾒見見した未公開のセキュリティ問題 について、独⾃自の取り扱いポリシーを定めた。 QSJWBUFNFBOTLFQUXJUIJOUIF0QFO44-EFWFMPQNFOUUFBN ⾮非公開 QSJWBUF とは 0QFO44-開発チーム内に情報が留留まるということを指す。 8FXJMMEFUFSNJOFUIFSJTLPGFBDIJTTVFCFJOHBEESFTTFE8FXJMMUBLFJOUPBDDPVOUPVSFYQFSJFODF EFBMJOHXJUIQBTUJTTVFT WFSTJPOTBFDUFE DPNNPOEFGBVMUT BOEVTFDBTFT8FEJWJEFUIFJTTVFT JOUPUIFGPMMPXJOHDBUFHPSJFT 我々は個々の問題がもたらすリスクを判断する。過去に問題を取り扱った経験や、影響を受けるバー ジョン、⼀一般的なデフォルトの設定、ユースケースを考慮する。そうして問題を次のカテゴリーに分 類する。 Copyright©2014 JPCERT/CC All rights reserved. 39
  • 43. 0QFO44-内でのセキュリティ問題のハンドリング *OUFSOBMIBOEMJOHPGTFDVSJUZJTTVFT • MPXTFWFSJUZJTTVFT5IJTJODMVEFTJTTVFTTVDIBTUIPTFUIBUPOMZBFDUUIFPQFOTTMDPNNBOEMJOFVUJMJUZ VOMJLFMZ DPOHVSBUJPOT PSIBSEUPFYQMPJUUJNJOH TJEFDIBOOFM BUUBDLT5IFTFXJMMJOHFOFSBMCFYFEJNNFEJBUFMZJO MBUFTUEFWFMPQNFOUWFSTJPOT BOENBZCFCBDLQPSUFEUPPMEFSWFSTJPOTUIBUBSFTUJMMHFUUJOHVQEBUFT8FXJMM VQEBUFUIFWVMOFSBCJMJUJFTQBHFBOEOPUFUIFJTTVF$7JOUIFDIBOHFMPHBOEDPNNJUNFTTBHF CVUUIFZNBZOPU USJHHFSOFXSFMFBTFT • 脅威度度低。このカテゴリーには PQFOTTMコマンドラインツール、⼀一般的でない設定、脆弱性の悪⽤用が困難なタイミ ング依存 サイドチャンネル の攻撃などが含まれる。基本的には最新のバージョンで修正され、アップデートを提供 している過去のバージョンにもバックポートする可能性がある。脆弱性のページをアップデートし、DIBOHFMPHや コミットのメッセージで$7に⾔言及するが、新規バージョンリリースのトリガーにはならないかもしれない。 • NPEFSBUFTFWFSJUZJTTVFT5IJTJODMVEFTJTTVFTMJLFDSBTIFTJODMJFOUBQQMJDBUJPOT BXTJOQSPUPDPMTUIBUBSFMFTT DPNNPOMZVTFE TVDIBT%5-4 BOEMPDBMBXT5IFTFXJMMJOHFOFSBMCFLFQUQSJWBUFVOUJMUIFOFYUSFMFBTF BOE UIBUSFMFBTFXJMMCFTDIFEVMFETPUIBUJUDBOSPMMVQTFWFSBMTVDIBXTBUPOFUJNF • 脅威度度中。クライアントアプリの異異常終了了、⼀一般的には使われることのないプロトコル たとえば%5-4 の⽋欠陥、 ローカル エクスプロイト可能な? ⽋欠陥などが含まれる。このカテゴリーの問題は基本的に次のリリースまで⾮非公開 にされる。このカテゴリーの複数の⽋欠陥をまとめて修正するようなスケジュールでパッチが公開される。 • IJHITFWFSJUZJTTVFT5IJTJODMVEFTJTTVFTBFDUJOHDPNNPODPOHVSBUJPOTXIJDIBSFBMTPMJLFMZUPCF FYQMPJUBCMFYBNQMFTJODMVEFBTFSWFS%P4 BTJHOJDBOUMFBLPGTFSWFSNFNPSZ BOESFNPUFDPEFFYFDVUJPO 5IFTFJTTVFTXJMMCFLFQUQSJWBUFBOEXJMMUSJHHFSBOFXSFMFBTFPGBMMTVQQPSUFEWFSTJPOT8FXJMMBUUFNQUUPLFFQ UIFUJNFUIFTFJTTVFTBSFQSJWBUFUPBNJOJNVNPVSBJNXPVMECFOPMPOHFSUIBOBNPOUIXIFSFUIJTJT TPNFUIJOHVOEFSPVSDPOUSPM BOETJHOJDBOUMZRVJDLFSJGUIFSFJTBTJHOJDBOUSJTLPSXFBSFBXBSFUIFJTTVFJT CFJOHFYQMPJUFE • 脅威度度⾼高。⼀一般的な設定に影響を与え、かつ攻撃される可能性が⾼高い問題。サーバの%P4、メモリ内容の漏漏洩、遠 隔からのコード実⾏行行など。このカテゴリーの問題は⾮非公開として扱われ、サポート中の全てのバージョンについて修 正版を新規リリースする。⾮非公開にする時間は最⼩小限にする努⼒力力をする。我々のコントロール下にある問題であれば、 ⽬目標はヶ⽉月以内であり、重⼤大なリスクが存在する場合や攻撃がすでに⾏行行われている場合はもっと早くなる。 Copyright©2014 JPCERT/CC All rights reserved. 40
  • 44. 0QFO44-内でのセキュリティ問題のハンドリング *OUFSOBMIBOEMJOHPGTFDVSJUZJTTVFT %VSJOHUIFJOWFTUJHBUJPOPGJTTVFTXFNBZXPSLXJUIJOEJWJEVBMTBOEPSHBOJTBUJPOT XIPBSFOPUPOUIFEFWFMPQNFOUUFBN8FEPUIJTCFDBVTFQBTUFYQFSJFODFIBT TIPXOUIBUUIFZDBOBEEWBMVFUPPVSVOEFSTUBOEJOHPGUIFJTTVFBOEUIFBCJMJUZUP UFTUQBUDIFT*ODBTFTXIFSFQSPUPDPMTBSFBFDUFEUIJTJTUIFCFTUXBZUPNJUJHBUFUIF SJTLUIBUBQPPSMZSFWJFXFEVQEBUFDBVTFTTJHODJBOUCSFBLBHF PSUPEFUFDUJGJTTVFT BSFCFJOHFYQMPJUFEJOUIFXJME8FIBWFBTUSJDUQPMJDZPOXIBUUIFTFPSHBOJTBUJPOT BOEJOEJWJEVBMTDBOEPXJUIUIFJOGPSNBUJPOBOEXJMMSFWJFXUIFOFFEPOBDBTFCZ DBTFCBTJT 問題を調査する間、開発チーム以外の個⼈人や組織と協⼒力力して活動することがある。我々 がそうする理理由は、我々が問題を理理解したりパッチを検証することに、彼らが貢献して くれるからである。プロトコルが影響を受ける場合、レビュー不不⼗十分なアップデートが ⼤大きな問題をもたらすリスクを低減したり、問題が実際に攻撃されているかどうかを検 知したりするために、これは最も優れた⽅方法である。これらの個⼈人や組織に対し、情報 の取扱いに関して厳格なポリシーを設けており、ケース 問題 ごとに協⼒力力を必要とするか を決めている。 Copyright©2014 JPCERT/CC All rights reserved. 41
  • 45. 事前通知ポリシー 1SFOPUJDBUJPOQPMJDZ 8IFSFXFBSFQMBOOJOHBOVQEBUFUIBUYFTTFDVSJUZJTTVFTXFXJMMOPUJGZUIFPQFOTTMBOOPVODF MJTUBOEVQEBUFUIFIPNFQBHFUPHJWFPVSTDIFEVMFEVQEBUFSFMFBTFEBUFBOEUJNFBOEUIF TFWFSJUZPGJTTVFTCFJOHYFECZUIFVQEBUF/PGVUIFSJOGPSNBUJPOBCPVUUIFJTTVFTXJMMCFHJWFO 5IJTJTUPBJEPSHBOJTBUJPOTUIBUOFFEUPFOTVSFUIFZIBWFTUBBWBJMBCMFUPIBOEMFUSJBHJOHPVS BOOPVODFNFOUBOEXIBUJUNFBOTUPUIFJSPSHBOJTBUJPO セキュリティ問題を修正するアップデート の公開 を計画している場合、PQFOTTMBOOPVODFリスト にその旨を通知するとともに、ウェブページを更更新してアップデートのリリース予定⽇日時、問題の脅 威度度を知らせる。この段階では、問題に関する情報公開はこれらのみとする。この公開は、我々の情 報公開をトリアージュできるスタッフを確保し、組織にとって情報が持つ意味を判断できるよう⽀支援 するものである。 'PSVQEBUFTUIBUJODMVEFIJHITFWFSJUZJTTVFTXFXJMMBMTPQSFOPUJGZXJUINPSFEFUBJMTBOEQBUDIFT 0VSQPMJDZJTUPMFUUIFPSHBOJTBUJPOTUIBUIBWFBHFOFSBMQVSQPTF04UIBUVTFT0QFO44-IBWFB GFXEBZTOPUJDFJOPSEFSUPQSFQBSFQBDLBHFTGPSUIFJSVTFSTBOEGFFECBDLUFTUSFTVMUT 脅威度度⾼高の問題を含むアップデートについては、より詳しい情報とパッチを事前に通知する。我々の ポリシーは、0QFO44-を使⽤用する汎⽤用04を提供する組織が、04利利⽤用者のためにパッケージを準備し、 テスト結果を反映させるために必要な数⽇日間の猶予を与えることにある。 Copyright©2014 JPCERT/CC All rights reserved. 42
  • 46. 事前通知ポリシー 1SFOPUJDBUJPOQPMJDZ 8FVTFUIFNBJMJOHMJTUEFTDSJCFEBUIUUQPTTTFDVSJUZPQFOXBMMPSHXJLJNBJMJOHMJTUTEJTUSPTGPS UIJT8FNBZBMTPJODMVEFPUIFSPSHBOJTBUJPOTUIBUXPVMEPUIFSXJTFRVBMJGZGPSMJTUNFNCFSTIJQ 8FNBZXJUIESBXOPUJGZJOHJOEJWJEVBMPSHBOJTBUJPOTGSPNGVUVSFQSFOPUJDBUJPOTJGUIFZMFBL JTTVFTCFGPSFUIFZBSFQVCMJDPSPWFSUJNFEPOPUBEEWBMVF WBMVFDBOCFBEEFECZQSPWJEJOH GFFECBDL DPSSFDUJPOT UFTUSFTVMUT FUD この通知には、IUUQPTTTFDVSJUZPQFOXBMMPSHXJLJNBJMJOHMJTUTEJTUSPTのメーリングリストを 使う。また、このメーリングリストの参加条件に⾒見見合うような他の組織を通知先に含めることがある。 ⼀一般公開前に情報をリークしたり、我々にとって価値がないと判断した組織は フィードバックをくれ たり、修正してくれたり、テスト結果を返してくれるようなところは価値がある 、将来、事前通知先 から外すことがある。 'JOBMMZ OPUFUIBUOPUBMMTFDVSJUZJTTVFTBSFOPUJFEUPVTEJSFDUMZTPNFDPNFGSPNUIJSEQBSUJFT TVDIBTDPNQBOJFTUIBUQBZGPSWVMOFSBCJMJUJFT TPNFDPNFGSPNDPVOUSZ$35T5IFTF JOUFSNFEJBSJFT PSUIFSFTFBSDIFSTUIFNTFMWFT NBZGPMMPXBEJFSFOUTUZMFPGOPUJDBUJPO5IJTJT XJUIJOUIFJSSJHIUTBOEPVUTJEFPGUIFDPOUSPMPGUIF0QFO44-UFBN 最後に、必ずしも全てのセキュリティ問題が我々に直接通知されるわけではない。脆弱性にお⾦金金を払 う企業のようなサードパーティーの組織から通知されることもあれば、国を代表する$35から通知さ れることもあれば、研究者⾃自⾝身から通知されることもあり、彼らの通知スタイルは様々である。どの ようなスタイルで通知するかは彼らの権利利であり、0QFO44-チームがコントロールできる範囲の外に ある。 Copyright©2014 JPCERT/CC All rights reserved. 43